2024年挖洞记录

0x00、JS的洞

1、访问目标地址，直接跳转至SSO，抓到一个js返回包内容如下。

思路很简单，拦截修改js响应数据包，将2改为1后直接跳转至内部登录地址。注：burp的intercept功能默认是不拦截js的，需要将其删除。

直接跳转至内部登录地址，URI形为：/xxxaaa/login?auto=false，auto=true就跳到SSO。直接暴力破解发现个普通用户的弱口令，登录进去在日志处查到sa账号密码信息。

2、稍微发散下，用这个URI制作目录字典，批量跑其它域名，最终找到了300多个内部项目系统，然后sa口令通杀。

0x01、Elasticsearch的洞

1、工具

客户端连接工具：

https://github.com/qax-os/ElasticHD

谷歌插件：

elasticsearch-head（Chrome应用商店下载即可）

2、利用

启动客户端，访问本地9800端口

如存在Elasticsearch未授权访问，连接后获取信息如下

两种方法获取indices中的数据信息

第一种：ElasticHD中执行查询后直接搜索，如

第二种：收集indices后调用接口通过burp批量发包，不过会出现数据量过大burp无法显示的问题（可以通过接口中的size控制大小）

比如要获取******（indices名称）的数据，直接调用接口如下

POST /******/_search HTTP/1.1Host: Content-Length: 97Accept: application/json, text/plain, */*User-Agent: Mozilla/5.0 (WindowsNT10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0Safari/537.36Content-Type: application/json{"sort":{},"query":{"bool":{"must":[],"should":[],"must_not":[]}},"aggs":{},"from":0,"size":1000}

3、发散下

一般情况下ES会和Kibana结合使用，所以碰到ES的话可以扫扫端口找找Kibana的系统，比如

可以直接去discover里搜索了，比如

变换关键字搜索就可以，内容过多的话可以配合filter和时间范围不断筛选就行

关键字：key、secret、password，phone、网站域名之类

0x02：docker_v2_catalog的洞

1、路径：

/v2/_catalog或者/v2/_catalog/

2、工具：

https://github.com/Soufaker/docker_v2_catalog

3、开打：大概是这样子

把镜像包拉下来，就是无聊的翻文件了，看到封装的jar，开锤

0x03：存储桶的洞

1、工具：https://github.com/sourcexu7/ossx

2、方法：纯捡洞，根域名或者一些特定目录，常见如/public,/files等，碰到了直接用工具把数据x下来，筛选文件后缀，比如看看txt文件？

0x04：order by的洞

常规里带着点不常归。

限制：单引号、空格、逗号、注释换行符等等全被干掉

突破：

判断库名长度

(case(length(database()))when(4)then(username)else(phone)end)

获取库名

(case(ascii(mid(database()from(1)for(1))))when(150)then(username)else(phone)end)

0x05：yuque给饭吃