问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
同源异梦:JWT 泄露后从主站到旁站的渗透曲线
渗透测试
在测试过程中,常常会遇到jwt的泄露,但是在测试时,无论加什么header,如何改uri,最后的结果不是401,就是404。不妨试一下同IP站点或者相似站点。
### **发现过程** 测试时第一步肯定是访问网站,然后点开熊猫头看是否有泄露,很凑巧这里只泄露了jwt。  开始拼接口,拼路径,但是最后得到的也仅仅是401。  走到这一步肯定是登录框爆破,或者fuzz看是否有未授权,都试过一无所获,那只能再回头信息收集,开始对ip进行收集,发现还存在其他系统。  访问以后进行登录测试时,发现虽然是两个系统但是接口似乎有点像,尝试将先前的jwt放入第二个系统进行测试。    ### **测试过程** 登录框中随意输入账号密码,抓取该登录数据包,放入重放模块进行构造,在header中加上token:{发现的jwt},在上图中,我对list接口比较感兴趣,f12查找与该接口有关的参数。  拼接后得到的信息还是缺东西,这时我们只需要将body中的参数放到uri中即可。成功得到相关数据,这代表这个token可以用。   此时已经有个账号相关的信息,并且还有一个重置密码的接口,继续拼接,显示账号id不能为空,我们刚才拿到了账号相关的信息中有一个platAccountId字段,直接加入,显示密码不能为空,在登陆时密码字段就是password,加入后修改成功。      到此肯定是要修改管理员的账号密码,成功后进行登录,    #### **sql注入** 在加入单引号以后发现会报错,仔细看发现是druid防火墙的报错,druid防火墙是可以使用报错函数进行注入的,这里使用的payload为/0 or updatexml(1,concat(0x7e,user(),0x7e),1)=1,也成功得到用户名,数据库名当然也是可以的。     ### **XSS** 由于该系统使用的是vue框架,它内部会存在一些过滤机制,f12看上去是写上了,但是已经被实例化了。    像绕过此类限制通常是找开发者误用v-html 的地方或者是编辑器,通常编辑器是最最无脑的方法。要不是上传html等等文件,要不然就是内容加入各种标签。    ### **敏感信息泄露** 由于现在很多网站通常不会直接接受上传的文件,通常会放在存储桶中,虽然防止了一些代码执行等漏洞,但同样会在设置上传权限是泄露相关的aksk以及临时STS,上传文件是发现返回包中存在aksk,使用obs浏览器成功接管其五十多个存储桶。    由于现在是admin账户登录的,可能危害并没有很严重,直接将一开始得到的jwt进行替换,同样也成功了,这应该就又可以水一个洞了。  ### **越权漏洞** 由于已经拿到后台权限,完全可以使用不同的账号测试越权,直接重置密码,然后使用其他浏览器进行登录。  可以看到该用户的权限很少,但并不代表真的很少,有些网站只是会对显示的菜单权限进行验证,并不会对功能点进行验证。f12找到该用户的token值,将burp中admin的token进行替换。获取aksk,可以,获取所有租户信息,也可以。     ### 总结 ```txt 这些漏洞可能在各位大佬眼里洒洒水啦,新手刚上路,轻点喷。如果有一些欠妥的地方还请各位大佬指教,把社区当一个博客也不错,希望以后能挖到更多有趣的漏洞。 ```
发表于 2025-07-02 09:43:33
阅读 ( 493 )
分类:
漏洞分析
2 推荐
收藏
0 条评论
请先
登录
后评论
_7
技术爱好者
1 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!