记一次“有趣”的信息泄露

记一次有趣的信息泄露,说有趣,是因为挖到了东西,环环相扣;说无趣,过程确实很枯燥,而且最后奖金也是贼nm低!!
 
挖掘某src时,一次偶然遇见了一个域名,是在跳转时提示时遇到的,打开就一个登陆界面,翻一翻源码突然间发现了东西,类似接口。收集下来大概一百多个。

1.png


 
看了大概有百多个接口:(根据字面翻译)注册帐号、找回密码、获取公司信息、反馈、订单、合同、店铺等等
尝试拼接之后,一直都是各种报错,要么就什么信息都没有

2.png



 
 
然后就一直看了下去,一百多个接口总不能全是这种错误,总要有一两个是可以看到信息的吧,反正我是这样安慰自己的,看着看着似乎就迎来了转机:(心里想至少是正常的界面)

3.png


然后看了将近一个小时快要放弃的时候,转机突然来了,显示合同编号不能为空,随意试了几位数字不行,然后就继续往下看。先保留这个界面,能获取合同编号就稳了
 

4.png


 
又发现了一个,可能需要点参数啥的,要不然你查询什么日志

5.png


 
 
果然心里想什么那就出现点什么,终于来东西了,看情况是五十家供应商或者分公司的信息吧

6.png


7.png


 
 
然后利用上一步的公司id:看到了下面这个

8.png


 
看到ContractNumber的时候已经可以奏乐了
 

9.png


 
把orderid拼接到上面查询日志的url:也爆出了信息,以及合同id,(该id有规律,可以爆破)
搞起,把前面需要 ContractNumber字段的url拿过来--->搞到合同

10.png


11.png

 
拿下了合同: 
然后就是身份信息,和一些行程,某某某在某年某月某日 和某某某去了哪里、在某个酒店干了啥,当然我k肯定都不知道

12.png


都是有钱人的生活,唉。

13.png


 
应该是全站的合同吧。。。具体不多说了
 
 
 
最后根据规则爆破了一下,又出来一个:应该是十万左右的供应商信息吧,具体不太清楚,没来得及探究就修复了!!!
 
Image.png





 
 
 
总结一下吧,影响范围应该是全站的合同订单(姓名、手机号、身份证、行程)、十万商户信息、一万多个店员信息、几千反馈信息、几个发送验证码的接口。刚开始挖的时候很难,难的是你得花几个小时去挨个测试接口,然后还要去百度他的意思,以此来猜测一些参数。有的显示缺少某参数,但是还拼凑不出来。
一直在屋里坐了一个下午加半个晚上,脖子都受不了,还好有收获。
后续的漏洞还好,只有第一天很耗时间,但是他们没确认漏洞就默默修复了!!!
 十万用户数据才给了600,五千数据给了150,所有的合同,上万身份证数据啥的就100块钱,笑死我了
 
一顿操作猛如虎,整套下来850?!
 
mlgb就这吧,洗洗睡吧cnm 
还有一句话:挖漏洞该坚持坚持,某src该放弃放弃!!!
 
 
 

4 个评论

这种src直接放弃
main

main 回复 zh_smile

反手给你一个六六六
国内src越来越不行了
main

main 回复 wuyou

难搞哦

要回复文章请先登录注册