js文件中的敏感信息&swagger接口测试
2023-4-6 21:45:3 Author: Z2O安全攻防(查看原文) 阅读量:35 收藏

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。

文章正文

实战中会经常遇到很多js文件,在js文件中很可能会遇到一些敏感信息和路径之类的,遇到路径可以尝试拼接,有可能会遇到未授权的情况等等,也有很多站点是webpack打包,可以F12查看sources找到路由可以看到所有路径

手工测试

也可以手工来挨个查看,右键查看源代码,点击这些js文件,ctrl+f
搜索path:或者.do .action http api password 等等,来寻找自己想要的

自动化工具

https://github.com/pingc0y/URLFinder

-s 200 状态码 也可以all
-m 2 深入抓取
-o . 导出csv在当前路径

插件:FindSomething

其他:

https://github.com/Carrypan2022/leakinfo_finder

添加spring boot actuator目录扫描以及手机号、身份证号码等敏感信息匹配

https://github.com/Threezh1/JSFinder

JSFinder获取URL和子域名

https://github.com/rtcatc/Packer-Fuzzer

支持自动模糊提取对应目标站点的API以及API对应的参数内容,未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞,最后可以生成doc pdf之类的报告

特征

Whitelabel Error Page // spring接口信息报错
favicon 小绿叶

常见漏洞:未授权访问、越权、任意文件上传、敏感信息泄露等

常见的路径

/v2/api-docs
/swagger-ui.html
/swagger
/api/swagger
/Swagger/ui/index
/api/swaggerui
/swagger/ui
/api/swagger/ui
/api/swagger-ui.html
/user/swagger-ui.html
/libs/swaggerui
/swagger/index.html
/swagger-resources/configuration/ui
/swagger-resources/configuration/security
/api.html
/druid/index.html
/sw/swagger-ui.html
/api/swagger-ui.html
/template/swagger-ui.html
/spring-security-rest/api/swagger-ui.html
/spring-security-oauth-resource/swagger-ui.html
/swagger/v1/swagger.json
/swagger/v2/swagger.json
/api-docs
/api/doc
/docs/
/doc.html
/v1/api-docs
/v3/api-docs

寻找接口

一般在登录处抓包或者感觉什么地方可能会调用接口就在什么地方抓包,可以看到接口信息,然后在针对接口域名扫描

细节

注意看最左上角,下拉可能不止一个接口文档

swagger都会给一个接口调试功能的,寻找自己想要的去调试就行,主要看看未授权之类的,如果遇到需要token之类的,可以先看网站能否注册,然后把自己的token带入到swagger顶部右上角验证,然后再去调试看能不能越权操作

再或者,注意看登录的接口,有的开发会直接把账密留在上面,如果有 一般是管理员权限,尝试登录看是否修改了密码,没修过能登陆的话就可以获取到token 在带入token就行,或者可以用账密string尝试登录,因为swagger注册处很多值都是string,有的测试为了方便,直接在swagger处创建string这个账号,然后就没有删除,导致string这个账号存留在数据库中,有可能账号权限还不低

自动化工具

https://github.com/jayus0821/swagger-hack

用法:

python swagger-hack2.0.py -u https://xxx/v2/api-docs

要用/v2/api-docs这个路径
最终会形成一个csv文档
建议手测,如果遇到接口处有删除的地方且存在未授权的操作,可能就会误删到一些东西
在确认好接口后再使用比较好


本文转自https://www.g3et.cn/2022/js%E6%96%87%E4%BB%B6%E4%B8%AD%E7%9A%84%E6%95%8F%E6%84%9F%E4%BF%A1%E6%81%AF

如有侵权,请联系删除。

技术交流

知识星球

致力于红蓝对抗,实战攻防,星球不定时更新内外网攻防渗透技巧,以及最新学习研究成果等。常态化更新最新安全动态。专题更新奇技淫巧小Tips及实战案例。

涉及方向包括Web渗透、免杀绕过、内网攻防、代码审计、应急响应、云安全。星球中已发布 200+ 安全资源,针对网络安全成员的普遍水平,并为星友提供了教程、工具、POC&EXP以及各种学习笔记等等。

交流群

关注公众号回复“加群”,添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。

关注我们

关注福利:

回复“app" 获取  app渗透和app抓包教程

回复“渗透字典" 获取 针对一些字典重新划分处理,收集了几个密码管理字典生成器用来扩展更多字典的仓库。

回复“书籍" 获取 网络安全相关经典书籍电子版pdf

回复“资料" 获取 网络安全、渗透测试相关资料文档

往期文章

我是如何摸鱼到红队的

命令执行漏洞[无]回显[不]出网利用技巧

MSSQL提权全总结

Powershell 免杀过 defender 火绒,附自动化工具

一篇文章带你学会容器逃逸

域渗透 | kerberos认证及过程中产生的攻击

通过DCERPC和ntlmssp获取Windows远程主机信息


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2ODYxMzY3OQ==&mid=2247493731&idx=1&sn=79dee292ecd366f5072504d6d5edead8&chksm=ceab0323f9dc8a35ab60c8506f5a9bb6fdf662e30449d79bf194beb7af6357e20d05e35437a4#rd
如有侵权请联系:admin#unsafe.sh