声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！

![图片](/media/202605/067a1841d42e46f29b59ba317631ce5e5876.png)

**【平台名称、文章内容、接口等已打码脱敏】**

无聊的时候打开了某SRC，发现了新增资产，于是立即开启了本次的漏洞挖掘之路。

## 从开局一个登录框到通用漏洞挖掘

![图片](/media/202605/78d876a3d0144c0ba88385284cbd61fd3589.png)

一般针对这种登录框的挖掘思路就是提取js文件的接口进行Fuzz测试，看是否存在未授权访问导致的信息泄露漏洞，以及是否有重置密码的接口、SQL注入、账号密码泄露、用户名枚举、弱口令等，这里我几乎跑了所有的js接口，并没看到什么爆红的数据包，但

![图片](/media/202605/295c39bffc0048648bdd058518ecb56a5831.png)

心里一喜，是否只要我得到userId值传进去，就可以getuserinfo得到用户敏感数据了？？当时还在想会不会泄露账户密码等信息，js里并未泄露该userid参数，我尝试了11111111 尝试了1 admin 等等 均未成功，于是我决定换个思路，查一下该系统互联网的相同资产。

![图片](/media/202605/d1a594c063f043549e2dd25b496db4412023.png)

好嘛 这么多资产，我找个存在未授权或者弱口令的进去横向挖掘通用漏洞，或者看是否能够收集到该系统的备份源码进行代码审计，再不济收集到userId岂不美哉？ 此处省略横向打点过程，最终摸到了一个弱口令的系统，进去查看发现存在userid为xxxxxxxxxxxxxxxxxxxxx 很长一段。 发现再次请求该接口只能得到如下信息

![图片](/media/202605/e37ca3fd3eda4c3982fbba36044041355197.png)

还是不够啊，于是我就对互联网那个存在弱口令的资产开始漏洞挖掘，后台某个功能点请求了一个新的js文件，这里我们称它为abcdindex.js 就是该js文件泄露了大量的路由接口拿来拼接测试，果不其然，

![图片](/media/202605/23d9ec8fc0474ea1b2bcc0681edd1ba62003.png)

发现该系统其实有多个子系统功能模块，每个mulu.json都给出了对应系统的API接口也就是BaseUrl和后台接口。拼接遍历，成功取得通用型未授权访问漏洞，某个接口泄露了大量的视频摄像头权限。贴一张厚码的图（大概几百多个摄像头调度权限）

![图片](/media/202605/d9ac2672171a41b695737ba81239911e6939.png)

提交该漏洞也是成功斩获高危

![图片](/media/202605/8f95f254fd9846768a57a161a7cad5db2831.png)

发现了那么多的隐藏接口，该漏洞肯定不能到此为止，于是继续开始挖掘。

## 逻辑缺陷导致鉴权缺失

发现很多接口功能点均提示缺少userId  这种归为A类， A类的接口还需要提供数据库存在的用户id和绑定的租户Id即可实现越权查看该用户信息，但还有一些接口提示鉴权缺失，该接口这里称为B类，但发现只需讲数据包的B的Authorization: Bearer认证头删除即会提示A类的问题，只需添加也可绕过，所以这里对提取到的后台目录进行访问这里直接访问 如下：

![图片](/media/202605/9a31e66a01ba4b8d95183b0aaaa754544457.png)

空白页面，这里使用bp抓包对每一个后端交互的数据包进行认证头删除

![图片](/media/202605/38c49b2ab4f147da8d5eaa8ed7202d407756.png)

？？？？？？？不是你？

![图片](/media/202605/75414e32c9ad4bdeb7f2019afa588c078329.png)

这么烂的系统没有权限就能难道本菜鸡吗，我拿前面收集到的用户ID 身份ID 进行参数FUZZ遍历 成功得到数据，舒服了。

![图片](/media/202605/7c8313e6aee5456eb71b17cf46b8ab9f1462.png)

其实还有很多人员管理等功能模块全部存在缺陷，也是成功绕过拿到该系统的后台管理员权限。斩获高危漏洞，这里根据日志泄露的用户名其实还发现了弱口令用户等多个漏洞，但还未来得及提交，项目就已经进行了关闭。

![图片](/media/202605/5ca425fc9de44ac9aa99b0fce18ca0c08465.png)

这两个漏洞相信有耐心的师傅其实都可以挖的到，本文仅是做个记录分享，但实际挖掘过程中需要去寻找的参数还是很多的，而且登录的默认管理用户名比较复杂，也是通过信息收集找了一波操作手册，像一般的SRC资产肯定都被大佬们挖掘的差不多了，几乎不会存在JS接口提取未授权的漏洞产生，但有时转变下思路，去打通杀，再根据0day漏洞或隐藏的文件接口针对性的对原始目标开展攻击，也许会发现到别人挖不到的漏洞，撕开不一样的口子。