对HTTP加密请求参数的测试

对于HTTP请求体加密，如果直接使用明文的请求参数，是无法进行正常的安全测试的。但通常还是有办法分析出加解密的策略，如果能把加解密算法还原，就可以先将安全测试的payload添加到原始明文参数，再加密发送到服务端处理（可以编写对应的burp插件实现半自动化，因为逻辑漏洞还是要人工分析），好处就是可以绕过WAF这类防护设备，WAF可能具备解码BASE64编码的能力，但对这种自定义的加密一般识别不了。比如下面的案例。

HTTP请求体中的参数是分段加密的：

接口使用了RSA和AES配合加密，每次会获得16位随机字符作为AES加密密钥。

iv为固定的字符串（该系统中iv的分析相对是困难的）。

加密模式为CBC，padding为Pkcs7，在加密入口设置断点获取某次加密的AES密钥。

使用密钥和iv解密data参数中的密文，获得明文参数，给明文参数添加安全测试的payload，再用相同的算法加密重新发包。

通过接口猜测实现越权

对于企业级系统，可用的后台服务不会是寥寥几个，通常会基于CURD组合成丰富的业务功能，用户在系统中看到的服务可能并不是该系统的全部服务。比如下面的案例。

下图是查看控制中心-用户管理的功能界面：

该功能调用了以下接口，该接口能够返回角色信息。

/detection/api/user/findRoleListByUserId/24

按照接口命名规则猜测，修改/findRoleListByUserId/为/findUserByUserId/，同时修改userid的数值为超管的userid（1），便返回了超级管理员的个人信息（如身份证、手机号、邮箱）。

模糊测试发现隐藏接口

俗话说，有毒蛇出没的地方也会有解药。同理，在有新增功能的地方，通常也有删除功能。

比如某系统查看首页-公司公告的功能：

查看其中一篇公告“集团公司公告测试”，发现可以进行评论。

添加评论，查看添加评论的接口接口如下：

/cqeip-androidapp/form/articleDiscuss/addDiscuss

 尝试删除评论，但是发现没有删除评论的接口，由于添加评论的接口是/cqeip-androidapp/form/articleDiscuss/addDiscuss，于是修改接口名称addDiscuss 为deleteDiscuss，提示不支持POST请求，但说明该接口存在。

转为GET请求再尝试，提示PostgreSQL数据库执行时发生语法错误，SQL中带入括号导致SQL语法报错，排查括号来源即可定位注入点。

从代码中找到越权入口

有时候业务功能和安全防护是冲突的，即便已经有意识对不同角色的用户划分权限。在某些情况下，研发人员“业务优先”的思维会在潜意识中使安全功能滞后，导致安全和业务冲突。如下面的案例。

对于已经做了鉴权的接口，尝试修改路径变量的数字id发现服务器不予处理。

通过查看源码发现，用户级别（参数level）为3才能调用这个接口，当前用户的级别为1，所以调用api/user/userGrid/1提示未授权。

上述代码在调用接口前进行鉴权，检查用户级别可以调用的数据集。

但在最后返回的时候代码会自动增加了一个参数level是3，authSource参数为0的数据集（可能其他服务需要用户有这个level的级别）。

该接口requireLevel是3，会提取出level大于等于3的数据集。由此判断，接口/userGrid/{datasetId}中的datasetId不在level大于等于3的数据集中，而经过校验返回的数据集中刚好存在level为3，值为0的数据集，由此导致安全和业务冲突。

于是，通过请求/api/user/userGrid/0即可实现权限绕过。

绕过HTTP请求中的签名保护

经过了签名保护的HTTP请求包数据通常是明文，只是多了签名校验的参数，如果修改了参数重新发包，而对应的签名校验的参数没有正确生成，那么服务端将不会处理该请求。如下面的案例。

当前系统的账号下只有一个文件，查看这个文件的处理日志。

获取日志的接口，URI中的数字22是当前H5文件的id：

/api/h5/encrypt/lookH5InfoLog/22

修改 id 为 21，查看其他文件的加固日志，提示接口签名校验错误。

签名校验参数sign的生成是在文件/static/js/app.42706fa77f33b048ba77.js中完成（如下图），其中clientid是固定字符串“admin”，timestamp是时间戳，拼接URI和字符串“admin”和时间戳，再通过MD5进行哈希即得到签名sign。

基于上述签名的生成方式，获取一个新的时间戳

修改URI中的id为21，再拼接字符串“admin”和新时间戳再通过MD5计算，便能得到一个合法的签名sign。

替换之前请求中的时间戳和sign，再次请求就能越权查看当前账号中看不到的文件id为21的处理日志。

绕过 jsonp 跨域限制

对于使用了随机数进行请求校验的功能，最简单的方法是尝试删除随机数。

登录站点A后，选择手机号码修改业务

之后进入信息审核页面，按 F12 进入浏览器开发者模式，选择“网络”， 刷新页面，查看请求，发现在三个回调函数调用中会返回用户的敏感信息（用户名，资金账号，手机号等）

可以看到，回调函数名都是采用了长的随机数命名，这样每次调用都是一次性的，下次调用又是新的随机函数名，再次访问该jsonp接口将不会返回数据：

https://a.com/hall/biz/judge/login?callback=jQuery112406353168200498462_1596181627657&_=1596181627658

由于同源策略限制，其他站点想要获取到该站点下的这些用户敏感数据可以尝试使用jsonp进行跨域获取。

这里尝试将回调函数后面的随机数删掉，再进行跨域获取，原始回调函数调用包含蓝色标记的随机数：

https://a.com/hall/biz/judge/login?callback=jQuery112406353168200498462_1596181627657&_=1596181627658 

将蓝色标记的随机数删掉，只保留“jQuery”：

https://a.com.cn/hall/biz/judge/login?callback=jQuery

jsonp跨域主要是利用<script>标签src属性可以进行跨域访问这一点，先创建一个html文件，用<script>标签的src属性去调用上面站点中返回用户敏感数据的那三个回调函数，接着在接收函数中将获取到的数据在控制台打印出来。

登录状态下在浏览器打开该页面，按F12查看控制台，发现成功在控制台中打印出了用户敏感数据，说明删掉随机数后可以正常调用jsonp接口，算是函数随机数命名的简单绕过，最后诱骗已登陆系统的用户去访问该构造好的URL即可获取对方的敏感信息（用户名，资金账号，手机号等）。

作者：RoShine

2024年2月2日 

洞源实验室