Parameter is null引发的一次五千漏洞赏金记录

0x01 前言 Missing parameter？Parameter is null？一次众测实战教你如何高效的找出缺少的参数。 0x02 漏洞背景 一次众测项目，称其为https://uctenter.target.com。 0x03 漏洞挖掘过程 前期通过信息收集，找到一处目录organization 状态码返回302，跳转到https://uctenter.target.com/organization/#/，熟悉的空白页面。直接翻js，正则匹配目录，拼接到url后面爆破，全部返回401。 将其匹配的目录导入到excel，使用/为分割符号进行分列，将其分列后的所有参数保存为字典，导入burp继续爆破。其中一处orgapi目录返回302，跳转到https://uctenter.target.com/orgapi/。 熟悉的spingboot界面，掏出珍藏的springboot字典，/orgapi/..;/v3/api-docs返回大量接口。继续上续操作，匹配接口，拼接在orgapi/..;/后进行爆破，发现多个接口未返回身份认证失败，说明已经成功绕过身份认证，但是未发现敏感信息。 观察接口信息，发现其中一个接口带有selectuser字段，返回报文为parameter is null。使用Arjun进行参数爆破， 使用Arjun自带的字典爆破无果，使用正则将https://uctenter.target.com/organization/#/中的js文件所有单词匹配出来构造字典，去重，大概五万多个。为什么推荐使用arjun进行爆破，假如有一万个参数，正常爆破会发送一万条报文，Arjun会将一万个参数分为25个组合，一个组合为400参数，第一次发送25次请求，只要其中25次请求中，里面有一个参数正确，便会返回不同的响应长度，以此类推，继续分割，直到剩下一个参数。 正常使用burp或者其它软件进行爆破，需要发送五万个请求，使用Arjun可发送不到3000个请求。 发现其中一个参数searchId返回不同的响应长度。通过其id值可遍历此厂商所有人员的用户名密码，身份证号码，手机号。 通过前面获取的code值可获取所有人员的家庭住址。 0x04 厂商反馈 获得了最高赏金五千。 0x05 总结 方法很笨但很实用。