api漏洞系列-API权限升级
2024-10-16 04:46:0 Author: mp.weixin.qq.com(查看原文) 阅读量:20 收藏

api漏洞系列-API权限升级

前言

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

主要逻辑

使用能够嵌入Crashlytics的fabric SDK,用twitter登录到他们的Android/IOS应用程序。用户可以在https://fabric.io/dashboard上管理/跟踪仪表板上的报告。

漏洞描述

而在仪表板上,我们可以看到两种类型的用户:

  • 管理员-可以删除app,添加成员,删除成员
  • 成员-不能删除应用、不能添加成员、不能删除成员

登录到Fabric;每个用户都会得到一个访问令牌,使用此访问令牌和会话cookie对每个请求进行身份验证。因此,我们检查成员的访问令牌是否可以用于执行管理请求。

我们从管理员的配置文件中拦截了一个删除请求,用成员的访问令牌和成员的会话cookie替换了访问令牌(X- CRASHLYTICS-DEVELOPER-TOKEN:)

类似如下:

在发送上述请求时,我们得到了一个200状态作为响应,并且成功删除了应用程序。

使用此漏洞,具有普通成员特权的攻击者可以使自己成为管理员,并可以接管该组织。

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

往期回顾

一款bp神器

ssrf绕过新思路

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247496152&idx=1&sn=ddedfa05e83130aba8435d365a25e48d&chksm=e8a5fbbbdfd272adf06e30d502c2484eee74f611168c8cafe744e15609ad9ce596e575538e59&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh