本文中,作者通过利用Shodan以语法 Org:'ibm' tomcat 进行搜索,发现了IBM某个在线服务x.x.x.x中包含了大量敏感日志文件信息,通过这些日志信息,作者又发现了多个IBM在用的第三方服务登录凭据,进一步的漏洞利用可对这些应用服务实现完全的控制管理。
如上,我用Shodan语法 Org:'ibm' tomcat 进行搜索,发现x.x.x.x中包含了大量IBM日志数据,其中涉及IBM公司大量雇员的Token口令和电子邮箱。
经检查,我发现其中的大量Token口令已经过期,但出于隐私和数据泄露考虑,这不应该曝露在网,于是我马上通过HackerOne进行了上报。但之后,他们的回复如下:
IBM方面需要切实的漏洞危害证明才能接收该上报漏洞问题,于是,我仔细查看了上述曝露在网的日志信息,对他们进行了收集整理,尝试从中发现深层次的隐患。
通过日志分析,我发现其中存在一个管理员才可以访问的URL路径,我点击它后会跳出提示“There is a missing token”,接着,我把该请求拿到了Burp中进行了测试。我在Burp请求内容中添加了一个名为“token”的字段内容,并给它赋了个随机值。请求发出后,响应回来的消息为“The token is invalid or expired”。很好,基于此,我就能判断这些日志数据中的“token”是否有效了。
凑巧的是,不负有心人,经过反复的发包测试,最终我发现了其中一个“token”仍然处于有效期,利用该“token”我可以轻而易举地获取到该雇员的相关信息:
之后,我又在日志数据中发现了大量IBM在用的AWS 和 Azure服务相关密钥信息:
就此打住吧。漏洞上报后,IBM方面也只好乖乖接收了。
在之后的分析中,我还发现IBM在用的敏捷开发服务Services DevOps Commander URL路径,经简单的口令猜测,发现其竟然是弱口令(admin/pass),之后,登录后即可控制其开发项目了:
在该项目管理系统中,我通过查看设置功能,还发现了如gitlab和jenkins等IBM在用的第三方服务登录凭据:
真的让我吃惊。
2020.7.21 漏洞上报
2020.7.22 漏洞分类
2020.12.8 漏洞修复
参考来源:medium,编译整理:clouds,转载请注明来自Freebuf.com
实时监控系统别人微信是是真是假(其实不是很难)话说手机微信如今基础早已替代QQ变成了第一大社交软件,但是许多远程桌面QQ上好用的作用微信上也没有,例如远程桌面。早晨开启电脑微信,发觉有的微信群聊天对话...
我可以不同意你的观点,但是我誓死捍卫你说话的权力。言行、言行,言是言,行是行,言和行截然不同,办法肯定不同。如果,让那些荒谬的谎言,邪恶的胡说尽情的说;让那些客观、良知、正义之声随便的讲,让所有的声音...
本文导读目录: 1、手机不小心重置恢复出厂设置了,照片视频怎么恢复?谢谢 2、手机被格式化了,怎么恢复照片? 3、华为手机恢复出厂设置后怎么还原照片? 4、手机恢复出厂设置了,照片还能找回...
食物坏了一部分,别随意扔!这种情况的还能吃…… [原文来自:] [原创文章:] 平常生活中,不免有食物聚积的时候,尤其是家里有白叟的,好多器材都舍不得吃。 过了良久才发现,然则已经变质了。 对于...
泰国央行维持基准利率不变 上调今年经济预测 中新社曼谷12月23日电 (记者 王国安)泰国央行23日举行议息会议决定,将基准利率维持在0.5%的低点不变。同时,该行上调了今年经济的预测。...
google关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧) 1、/admin/admin_news_pl_view.asp?id=1//id任意 填入以下语句...