2022邏輯漏洞挖掘方法

邏輯漏洞挖掘思路分享CONTENTSCONTENTS01JS文件收集02敏感信息收集03常見漏洞測(cè)試04未授權(quán)漏洞測(cè)試通常在瀏覽器DevTools的Sources面板中無法看到所有的JS文件，因此需要找到所有的JS文件并下載到本地進(jìn)行分析通過右鍵點(diǎn)擊查看頁面源代碼，可發(fā)現(xiàn)JS鏈接可能在HTML頁面script標(biāo)簽中，如圖所示：JS鏈接在HTML頁面script標(biāo)簽中文字編排JS文件收集通常在瀏覽器DevTools的Sources面板中無法看到所有的JS文件，因此需要找到所有的JS文件并下載到本地進(jìn)行分析通過右鍵點(diǎn)擊查看頁面源代碼，可發(fā)現(xiàn)JS鏈接可能在HTML頁面JS代碼中，如圖所示：JS鏈接在HTML頁面JS代碼中文字編排JS文件收集通常在瀏覽器DevTools的Sources面板中無法看到所有的JS文件，因此需要找到所有的JS文件并下載到本地進(jìn)行分析通過在Sources面板全局搜索，可發(fā)現(xiàn)JS鏈接可能在其他JS文件中，如圖所示：JS鏈接在其他JS文件中文字編排JS文件收集在瀏覽器DevTools的Sources面板中如果能看到webpack://，那么很有可能Source

Map文件未刪除可在JS文件鏈接后面添加.map嘗試下載Source

Map文件，使用reverse-sourcemap工具反編譯

Source

Map文件，查看項(xiàng)目原始代碼SourceMap文件未刪除文字編排JS文件收集文字編排敏感信息收集API接口信息：在登錄頁面輸入所需信息，并點(diǎn)擊登錄，獲取到登錄接口的路徑，如/api/login在瀏覽器DevTools的Sources面板全局搜索/api/login，可發(fā)現(xiàn)API接口路徑在JS文件存在的位置，可能如下：url:"/api/login"xxx.post("/api/login",params)Object(xxx["a"])("/api/login",

params)嘗試在瀏覽器DevTools的Sources面板通過正則搜索url:"(.*?)"獲取到API接口路徑信息，如果所有結(jié)果集中在同一個(gè)文件，如main.xxxx.js、app.xxxx.js、umi.xxxx.js，那么搜索結(jié)果應(yīng)該覆蓋了絕大部分API接口信息，如果搜索結(jié)果分散分布在chunk.xxxx.js、xx.xxxx.async.js文件中，那么需要搜索之前下載的所有JS文件才能獲取到所有API接口信息文字編排敏感信息收集前端路由信息：在登錄頁面查看URL信息，可能為/user/login、/#/user/login，可獲取到登錄頁面路由路徑，為/user/login在瀏覽器DevTools的Sources面板全局搜索/user/login，可發(fā)現(xiàn)前端路由路徑在JS文件存在的位置，可能如下：path:"/user/login"route.push("/user/login")嘗試在瀏覽器DevTools的Sources面板通過正則搜索path:"(.*?)"獲取到前端路由信息，如果所有結(jié)果集中在同一個(gè)文件，如main.xxxx.js、app.xxxx.js、umi.xxxx.js，那么搜索結(jié)果應(yīng)該覆蓋了絕大部分前端路由信息，如果搜索結(jié)果分散分布在chunk.xxxx.js、xx.xxxx.async.js文件中，那么需要搜索之前下載的所有JS文件才能獲取到所有前端路由信息文字編排敏感信息收集手機(jī)號(hào)、郵箱信息：@、1\d{10}密鑰、token信息：jwt、secret、eyjh、token、[0-9a-f]{32}、password、admin其他信息：可關(guān)注開發(fā)文檔、幫助文檔等信息可使用VSCode或其他IDE打開保存所有JS的文件夾，通過關(guān)鍵詞或正則進(jìn)行全局搜索，來嘗試獲取以上敏感信息還可以在BurpSuite安裝HaE插件，然后使用以下命令下載所有JS文件，使流量經(jīng)過BurpSuite的代理，通過HaE插件識(shí)別敏感信息curl-x:8080-Ok"/xxx.js"在JS文件獲取到已經(jīng)失效的JWT

Token，可了解JWT

Token的格式案例分享——網(wǎng)站后臺(tái)權(quán)限獲取文字編排敏感信息收集在JS文件獲取到可未授權(quán)訪問的接口信息，通過接口可獲取到用戶名、用戶id、項(xiàng)目id信息，可用于構(gòu)造JWT

Token案例分享——網(wǎng)站后臺(tái)權(quán)限獲取文字編排敏感信息收集在JS文件獲取到網(wǎng)盤視頻教程的地址和提取碼，在產(chǎn)品部署視頻中獲取到了JWT

Secret案例分享——網(wǎng)站后臺(tái)權(quán)限獲取文字編排敏感信息收集通過之前獲取到的所有信息，構(gòu)造了JWT

Token，成功登錄了網(wǎng)站后臺(tái)案例分享——網(wǎng)站后臺(tái)權(quán)限獲取文字編排敏感信息收集文字編排常見漏洞測(cè)試用戶名、密碼爆破登錄接口可嘗試爆破用戶名、密碼密碼找回接口可嘗試爆破用戶名存在加密的站點(diǎn)，可嘗試執(zhí)行JS代碼進(jìn)行密碼爆破短信轟炸登錄接口、密碼找回接口可嘗試短信轟炸可通過在手機(jī)號(hào)前面添加“0”，在手機(jī)號(hào)前面或后面添加“”、“,”、“;”繞過次數(shù)限制存在加密的站點(diǎn)，可嘗試執(zhí)行JS代碼進(jìn)行短信轟炸隱藏的注冊(cè)接口可在“敏感信息收集”步驟獲取到的API列表、前端路由列表中，查找注冊(cè)的接口、注冊(cè)的前端頁面，嘗試注冊(cè)可在登錄頁面查看頁面元素，遞歸展開所有標(biāo)簽，查看是否存在隱藏的注冊(cè)頁面標(biāo)簽即使在前端JS等所有文件都沒找到注冊(cè)相關(guān)接口頁面信息，也可將登錄的接口login、signin改為register、signup測(cè)試注冊(cè)接口是否存在目錄爆破可分析“敏感信息收集”步驟獲取到的API列表，對(duì)相關(guān)的API接口路徑進(jìn)行目錄爆破訪問登錄頁面，并在控制臺(tái)執(zhí)行密碼爆破的JS代碼，然后選擇字典，即可進(jìn)行密碼爆破案例分享——加密接口密碼爆破文字編排常見漏洞測(cè)試在發(fā)送短信的接口處打斷點(diǎn)，并在控制臺(tái)執(zhí)行短信轟炸的JS代碼，即可進(jìn)行短信轟炸案例分享——加密接口短信轟炸文字編排常見漏洞測(cè)試對(duì)于常規(guī)沒有加密、簽名限制的站點(diǎn)，可以分別構(gòu)造GET請(qǐng)求包、空請(qǐng)求體的POST請(qǐng)求包，使用BurpSuite批量遍歷“敏感信息收集”步驟獲取到的API列表，根據(jù)響應(yīng)信息判斷API接口是否可未授權(quán)訪問如果API接口可未授權(quán)訪問，可根據(jù)響應(yīng)信息中的報(bào)錯(cuò)信息提示構(gòu)造具體的請(qǐng)求包如果響應(yīng)信息中沒有報(bào)錯(cuò)的詳細(xì)信息，可使用VSCode或其他IDE打開保存所有JS的文件夾，通過API接口路徑進(jìn)行全局搜索，獲取API接口的具體參數(shù)信息API接口遍歷文字編排未授權(quán)漏洞測(cè)試對(duì)于常規(guī)沒有加密、簽名限制的站點(diǎn)，可以分別構(gòu)造GET請(qǐng)求包、空請(qǐng)求體的POST請(qǐng)求包，使用BurpSuite批量遍歷“敏感信息收集”步驟獲取到的API列表，根據(jù)響應(yīng)信息判斷API接口是否可未授權(quán)訪問案例分享——API接口遍歷文字編排未授權(quán)漏洞測(cè)試對(duì)于存在加密、簽名限制的站點(diǎn)，可以瀏覽器手動(dòng)訪問“敏感信息收集”步驟獲取到的前端路由列表，根據(jù)頁面中能否加載出具體信息判斷API接口是否可未授權(quán)訪問大部分站點(diǎn)，未登錄的情況下直接訪問前端路由路徑，會(huì)跳轉(zhuǎn)到登錄頁面，可嘗試下面幾種方式使其不再跳轉(zhuǎn)某些站點(diǎn)會(huì)在JS代碼中定義一個(gè)變量，變量中存儲(chǔ)了所有未登錄情況下可訪問的前端路由列表，可使用瀏覽器DevTools的Sources面板中overrides功能，修改JS代碼，將所有前端路由加入到這個(gè)變量，即可在未登錄的情況下訪問所有的前端路由頁面某些站點(diǎn)會(huì)通過特定API接口的響應(yīng)信息判斷當(dāng)前是否已登錄，只需使用BurpSuite配置自動(dòng)修改響應(yīng)信息，即可偽造成登錄的狀態(tài)，訪問所有的前端路由頁面某些站點(diǎn)會(huì)通過localStorage、sessionStorage存儲(chǔ)的數(shù)據(jù)判斷當(dāng)前是否已登錄，只需分析JS代碼，在localStorage、sessionStorage構(gòu)造相應(yīng)的數(shù)據(jù)，即可偽造成登錄的狀態(tài)，訪問所有的前端路由頁面前端頁面測(cè)試文字編排未授權(quán)漏洞測(cè)試某些站點(diǎn)會(huì)在JS代碼中定義一個(gè)變量，變量中存儲(chǔ)了所有未登錄情況下可訪問的前端路由列表，可使用瀏覽器DevTools的Sources面板中overrides功能，修改JS代碼，將所有前端路由加入到這個(gè)變量，即可在未登錄的情況下訪問所有的前端路由頁面案例分享——前端頁面測(cè)試文字編排未授權(quán)漏洞測(cè)試s=[{path:"/login",component:o("login/Login"),hidden:!0},{path:"/changePwd",component:o("login/changePwd"),hidden:!0},{path:"/sys",component:o("layout/Layout"),hidden:!0,children:[{path:"todoList",component:o("app/TodoList")}]}]

"xxx:admin:PlatformPersonManage":{name:"平臺(tái)人員管理",component:o("account/PlatformPersonManage")}

p=["/login","/changePwd"]s=[{path:"/login",component:o("login/Login"),hidden:!0},{path:"/changePwd",component:o("login/changePwd"),hidden:!0},{path:"/sys",component:o("layout/Layout"),hidden:!0,children:[{path:"todoList",component:o("app/TodoList")}]},{path:"/PlatformPersonManage",component:o("account/PlatformPersonManage"),hidden:!0}]

"xxx:admin:PlatformPersonManage":{name:"平臺(tái)人員管理",component:o("account/PlatformPersonManage")}

p=["/login","/changePwd","/sys","/sys/todoList","/PlatformPersonManage"]對(duì)于存在加密、簽名限制的站點(diǎn)，如果直接訪問前端路由路徑，會(huì)跳轉(zhuǎn)到登錄頁面，而又沒有找到辦法阻止其跳轉(zhuǎn)，那么可以使用以下的方式進(jìn)行手動(dòng)測(cè)試：在瀏覽器DevTools的Sources面板全局搜索登錄接口路徑如/api/login，在JS中的對(duì)應(yīng)位置打斷點(diǎn)根據(jù)調(diào)用登錄接口的代碼