2022邏輯漏洞挖掘方法

邏輯漏洞挖掘思路分享CONTENTSCONTENTS01JS文件收集02敏感信息收集03常見漏洞測試04未授權(quán)漏洞測試通常在瀏覽器DevTools的Sources面板中無法看到所有的JS文件，因此需要找到所有的JS文件并下載到本地進行分析通過右鍵點擊查看頁面源代碼，可發(fā)現(xiàn)JS鏈接可能在HTML頁面script標簽中，如圖所示：JS鏈接在HTML頁面script標簽中文字編排JS文件收集通常在瀏覽器DevTools的Sources面板中無法看到所有的JS文件，因此需要找到所有的JS文件并下載到本地進行分析通過右鍵點擊查看頁面源代碼，可發(fā)現(xiàn)JS鏈接可能在HTML頁面JS代碼中，如圖所示：JS鏈接在HTML頁面JS代碼中文字編排JS文件收集通常在瀏覽器DevTools的Sources面板中無法看到所有的JS文件，因此需要找到所有的JS文件并下載到本地進行分析通過在Sources面板全局搜索，可發(fā)現(xiàn)JS鏈接可能在其他JS文件中，如圖所示：JS鏈接在其他JS文件中文字編排JS文件收集在瀏覽器DevTools的Sources面板中如果能看到webpack://，那么很有可能Source

Map文件未刪除可在JS文件鏈接后面添加.map嘗試下載Source

Map文件，使用reverse-sourcemap工具反編譯

Source

Map文件，查看項目原始代碼SourceMap文件未刪除文字編排JS文件收集文字編排敏感信息收集API接口信息：在登錄頁面輸入所需信息，并點擊登錄，獲取到登錄接口的路徑，如/api/login在瀏覽器DevTools的Sources面板全局搜索/api/login，可發(fā)現(xiàn)API接口路徑在JS文件存在的位置，可能如下：url:"/api/login"xxx.post("/api/login",params)Object(xxx["a"])("/api/login",

params)嘗試在瀏覽器DevTools的Sources面板通過正則搜索url:"(.*?)"獲取到API接口路徑信息，如果所有結(jié)果集中在同一個文件，如main.xxxx.js、app.xxxx.js、umi.xxxx.js，那么搜索結(jié)果應該覆蓋了絕大部分API接口信息，如果搜索結(jié)果分散分布在chunk.xxxx.js、xx.xxxx.async.js文件中，那么需要搜索之前下載的所有JS文件才能獲取到所有API接口信息文字編排敏感信息收集前端路由信息：在登錄頁面查看URL信息，可能為/user/login、/#/user/login，可獲取到登錄頁面路由路徑，為/user/login在瀏覽器DevTools的Sources面板全局搜索/user/login，可發(fā)現(xiàn)前端路由路徑在JS文件存在的位置，可能如下：path:"/user/login"route.push("/user/login")嘗試在瀏覽器DevTools的Sources面板通過正則搜索path:"(.*?)"獲取到前端路由信息，如果所有結(jié)果集中在同一個文件，如main.xxxx.js、app.xxxx.js、umi.xxxx.js，那么搜索結(jié)果應該覆蓋了絕大部分前端路由信息，如果搜索結(jié)果分散分布在chunk.xxxx.js、xx.xxxx.async.js文件中，那么需要搜索之前下載的所有JS文件才能獲取到所有前端路由信息文字編排敏感信息收集手機號、郵箱信息：@、1\d{10}密鑰、token信息：jwt、secret、eyjh、token、[0-9a-f]{32}、password、admin其他信息：可關注開發(fā)文檔、幫助文檔等信息可使用VSCode或其他IDE打開保存所有JS的文件夾，通過關鍵詞或正則進行全局搜索，來嘗試獲取以上敏感信息還可以在BurpSuite安裝HaE插件，然后使用以下命令下載所有JS文件，使流量經(jīng)過BurpSuite的代理，通過HaE插件識別敏感信息curl-x:8080-Ok"/xxx.js"在JS文件獲取到已經(jīng)失效的JWT

Token，可了解JWT

Token的格式案例分享——網(wǎng)站后臺權(quán)限獲取文字編排敏感信息收集在JS文件獲取到可未授權(quán)訪問的接口信息，通過接口可獲取到用戶名、用戶id、項目id信息，可用于構(gòu)造JWT

Token案例分享——網(wǎng)站后臺權(quán)限獲取文字編排敏感信息收集在JS文件獲取到網(wǎng)盤視頻教程的地址和提取碼，在產(chǎn)品部署視頻中獲取到了JWT

Secret案例分享——網(wǎng)站后臺權(quán)限獲取文字編排敏感信息收集通過之前獲取到的所有信息，構(gòu)造了JWT

Token，成功登錄了網(wǎng)站后臺案例分享——網(wǎng)站后臺權(quán)限獲取文字編排敏感信息收集文字編排常見漏洞測試用戶名、密碼爆破登錄接口可嘗試爆破用戶名、密碼密碼找回接口可嘗試爆破用戶名存在加密的站點，可嘗試執(zhí)行JS代碼進行密碼爆破短信轟炸登錄接口、密碼找回接口可嘗試短信轟炸可通過在手機號前面添加“0”，在手機號前面或后面添加“”、“,”、“;”繞過次數(shù)限制存在加密的站點，可嘗試執(zhí)行JS代碼進行短信轟炸隱藏的注冊接口可在“敏感信息收集”步驟獲取到的API列表、前端路由列表中，查找注冊的接口、注冊的前端頁面，嘗試注冊可在登錄頁面查看頁面元素，遞歸展開所有標簽，查看是否存在隱藏的注冊頁面標簽即使在前端JS等所有文件都沒找到注冊相關接口頁面信息，也可將登錄的接口login、signin改為register、signup測試注冊接口是否存在目錄爆破可分析“敏感信息收集”步驟獲取到的API列表，對相關的API接口路徑進行目錄爆破訪問登錄頁面，并在控制臺執(zhí)行密碼爆破的JS代碼，然后選擇字典，即可進行密碼爆破案例分享——加密接口密碼爆破文字編排常見漏洞測試在發(fā)送短信的接口處打斷點，并在控制臺執(zhí)行短信轟炸的JS代碼，即可進行短信轟炸案例分享——加密接口短信轟炸文字編排常見漏洞測試對于常規(guī)沒有加密、簽名限制的站點，可以分別構(gòu)造GET請求包、空請求體的POST請求包，使用BurpSuite批量遍歷“敏感信息收集”步驟獲取到的API列表，根據(jù)響應信息判斷API接口是否可未授權(quán)訪問如果API接口可未授權(quán)訪問，可根據(jù)響應信息中的報錯信息提示構(gòu)造具體的請求包如果響應信息中沒有報錯的詳細信息，可使用VSCode或其他IDE打開保存所有JS的文件夾，通過API接口路徑進行全局搜索，獲取API接口的具體參數(shù)信息API接口遍歷文字編排未授權(quán)漏洞測試對于常規(guī)沒有加密、簽名限制的站點，可以分別構(gòu)造GET請求包、空請求體的POST請求包，使用BurpSuite批量遍歷“敏感信息收集”步驟獲取到的API列表，根據(jù)響應信息判斷API接口是否可未授權(quán)訪問案例分享——API接口遍歷文字編排未授權(quán)漏洞測試對于存在加密、簽名限制的站點，可以瀏覽器手動訪問“敏感信息收集”步驟獲取到的前端路由列表，根據(jù)頁面中能否加載出具體信息判斷API接口是否可未授權(quán)訪問大部分站點，未登錄的情況下直接訪問前端路由路徑，會跳轉(zhuǎn)到登錄頁面，可嘗試下面幾種方式使其不再跳轉(zhuǎn)某些站點會在JS代碼中定義一個變量，變量中存儲了所有未登錄情況下可訪問的前端路由列表，可使用瀏覽器DevTools的Sources面板中overrides功能，修改JS代碼，將所有前端路由加入到這個變量，即可在未登錄的情況下訪問所有的前端路由頁面某些站點會通過特定API接口的響應信息判斷當前是否已登錄，只需使用BurpSuite配置自動修改響應信息，即可偽造成登錄的狀態(tài)，訪問所有的前端路由頁面某些站點會通過localStorage、sessionStorage存儲的數(shù)據(jù)判斷當前是否已登錄，只需分析JS代碼，在localStorage、sessionStorage構(gòu)造相應的數(shù)據(jù)，即可偽造成登錄的狀態(tài)，訪問所有的前端路由頁面前端頁面測試文字編排未授權(quán)漏洞測試某些站點會在JS代碼中定義一個變量，變量中存儲了所有未登錄情況下可訪問的前端路由列表，可使用瀏覽器DevTools的Sources面板中overrides功能，修改JS代碼，將所有前端路由加入到這個變量，即可在未登錄的情況下訪問所有的前端路由頁面案例分享——前端頁面測試文字編排未授權(quán)漏洞測試s=[{path:"/login",component:o("login/Login"),hidden:!0},{path:"/changePwd",component:o("login/changePwd"),hidden:!0},{path:"/sys",component:o("layout/Layout"),hidden:!0,children:[{path:"todoList",component:o("app/TodoList")}]}]

"xxx:admin:PlatformPersonManage":{name:"平臺人員管理",component:o("account/PlatformPersonManage")}

p=["/login","/changePwd"]s=[{path:"/login",component:o("login/Login"),hidden:!0},{path:"/changePwd",component:o("login/changePwd"),hidden:!0},{path:"/sys",component:o("layout/Layout"),hidden:!0,children:[{path:"todoList",component:o("app/TodoList")}]},{path:"/PlatformPersonManage",component:o("account/PlatformPersonManage"),hidden:!0}]

"xxx:admin:PlatformPersonManage":{name:"平臺人員管理",component:o("account/PlatformPersonManage")}

p=["/login","/changePwd","/sys","/sys/todoList","/PlatformPersonManage"]對于存在加密、簽名限制的站點，如果直接訪問前端路由路徑，會跳轉(zhuǎn)到登錄頁面，而又沒有找到辦法阻止其跳轉(zhuǎn)，那么可以使用以下的方式進行手動測試：在瀏覽器DevTools的Sources面板全局搜索登錄接口路徑如/api/login，在JS中的對應位置打斷點根據(jù)調(diào)用登錄接口的代碼