使用手机挖掘IDOR漏洞赚取1500美元赏金

在今天的文章中，笔者将分享如何在手机上发现两个不安全的直接对象引用 (IDOR) 实例，并因此获得 1500 美元的赏金。

信息收集：了解目标

首先，我通常使用 Google dork（谷歌语法：如“site:target.com about”）或在 Google 上搜索“target.com”，以深入了解该公司的网站。进入应用主页后，我探索了其功能以确定需要测试的区域。

渗透测试：测试应用程序功能

我最初关注的是登录功能，尝试使用各种 OAuth 技术（例如 Google 或 Facebook 身份验证）绕过身份验证。此外，我还禁用了应用程序的电子邮件权限共享。之后，我尝试在未经验证的情况下添加受害者的电子邮件。有关此绕过技术的更多详细信息，您可以参考此文章https://medium.com/@Land2Cyber/10-techniques-for-bypassing-authentication-in-web-applications-27b2ceee6a76。

由于我只使用手机，无法访问 Burp Suite，因此我只能在无法抓包的情况下继续进行测试。

漏洞发现

为了发现更多端点，我使用 Termux 或“JuiceSSH — SSH 客户端”登录我的 VPS，并使用 Gauplus、Waybackurls 和 Waymore 等工具。我使用了以下命令：

cat subs.txt | waymore | tee ends00.txtcat subs.txt | gauplus | tee ends01.txtcat subs.txt | waybackurls | tee ends03.txt

此外，我还使用了另一个有用的项目 Katana（URL爬虫工具）：https://github.com/projectdiscovery/katana。

删除重复的 URL 并识别活跃的 URL 后，我偶然发现了一个 API URL，它可以让我获取电子邮件地址和姓名等敏感信息。

删除重复的 URL 并查找活动的 URL：

cat ends* | sort | uniq | httpx | tee Aends.txt

在检查我发现的端点时，我注意到 API 网址类似于：https://target.com/api/settings/settings?classKey=231，我转到 chrom 浏览器并打开网址，发现响应包含以下内容：

{“useopenedge”:false,”email”:”email@victimemail.com”, “firstname”:”john” , “lastname”:”doe”, “billphonenumber”:”444–654–2544"}

当您修改 ?classKey= 时，您会获得其他用户数据，无需任何身份验证，我可以立即报告，但我一直在寻找其他网址，它们也可能会泄露其他信息：因此使用此命令：

cat Aends.txt | grep “/api” | tee apis.txt

我找到了所有的 api 路径，打开它们时，有些会出现 404 错误，有些只是文本文件。

结合AI 编写程序查找所有 API json 响应

为了简化流程，我使用了一个 bash 脚本来抓取 URL 并过滤 JSON 响应。脚本如下：

#!/bin/bash

# Function to check if a string is valid JSONis_valid_json() {echo “$1” | jq . >/dev/null 2>&1}

# Create a file to store the resultstouch json_results.txt

# Loop through each URL in apis.txtwhile IFS= read -r url; do# Send a GET request to the URL and store the response in a variableresponse=$(curl -s “$url”)

# Check if the response is valid JSONif is_valid_json “$response”; thenecho “URL $url has a valid JSON response:” >> json_results.txtecho “$response” >> json_results.txtelseecho “URL $url does not have a valid JSON response.” >> json_results.txtfidone < apis.txt

运行脚本后，我获得了所有 json 格式的 api，并且发现了更多私人数据，例如完整地址和邮政编码、ssn、设置配置。

结合AI构建POC

我决定创建一个带有搜索引擎的网站，用户可以在其中输入用户 ID 并检索所有数据。结合我找到的 API 端点，我开发了这个应用程序并将其上传到“mydomain.com/poc”以展示其影响。

最终结果展示：

我还利用 ChatGPT 协助创建报告，并于 2024 年 5 月 20 日提交漏洞报告，该报告经过审查，第二天就获得了奖励，奖金为1500 美元。

漏洞严重程度 => 中危

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。