如何利用Github探測發(fā)現(xiàn)特斯拉API請求漏洞

如何利用Github探測發(fā)現(xiàn)特斯拉API請求漏洞，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

下面講述通過Github探測手段（Github Recon）發(fā)現(xiàn)了特斯拉某服務(wù)端的用戶名密碼憑據(jù)，通過該憑據(jù)可以成功對特斯拉后臺API接口發(fā)起請求，實(shí)現(xiàn)敏感數(shù)據(jù)返回。

漏洞發(fā)現(xiàn)

由于我對服務(wù)臺和管理員角色比較熟悉，但此前并未涉獵過多的網(wǎng)絡(luò)安全，對于安全行業(yè)，我還在努力研究。最近幾天，我在看@Th4G3nt3lman發(fā)布的Github探測手段（Github Recon）視頻教程，它是關(guān)于一些手動的Github偵測技巧，包括關(guān)鍵字查找和特殊庫發(fā)現(xiàn)等方式。看過之后，我嘗試著自己現(xiàn)學(xué)現(xiàn)賣，就隨手拿特斯拉公司作為目標(biāo)進(jìn)行搜索查找，如：

"tesla.com" password=

結(jié)果是什么都沒發(fā)現(xiàn)，那再換換看：

"tesla.com" pass=

也沒有任何返回結(jié)果，再來：

"tesla.com" pwd=

這下就有了：

它是一個特斯拉的代碼庫，而且竟然是3天前更新過的代碼：

從以上代碼可以看出：

1、它是與云端IT業(yè)務(wù)專業(yè)管理工具ServiceNow進(jìn)行交互的代碼，我對ServiceNow比較熟悉；

2、其中的用戶名user、密碼pwd是base64編碼，是可以解碼的。

測試驗(yàn)證

手里有了這個憑據(jù)，我就想如何去利用它。在CTF經(jīng)驗(yàn)的幫助下，我用在線的CyberChef工具成功解碼了上述base64編碼字段，這樣一來，就能去登錄測試了。

但尷尬的是，當(dāng)我嘗試用明文憑據(jù)去登錄特斯拉adfs系統(tǒng)（https://sso.tesla.com/adfs/）時，它提示需要進(jìn)行多因素驗(yàn)證，還需要驗(yàn)證登錄用戶的手機(jī)號，這就有點(diǎn)難了。

API拯救了世界

至此，好像也沒什么希望了。但是由于我了解ServiceNow，工作中經(jīng)常會用到其API接口方式，所以，我就想在此請求特斯拉API接口試試看。于是，我用PostMan構(gòu)造了包含上述憑據(jù)的請求，看看能否返回一個有效的響應(yīng)。

從我探測過的特斯拉API接口列表中，我選擇了幾個執(zhí)行請求，BOOM！其中完全不需要權(quán)限驗(yàn)證，HTTP 200 ！值得注意的是，我構(gòu)造的請求不算大，但返回?cái)?shù)據(jù)竟然把PostMan都崩潰了，可見其響應(yīng)數(shù)據(jù)算是非常之多了。

這里，我們再來認(rèn)識一下ServiceNow，它是一款云服務(wù)管理工具，安裝之后會包含一個名為“MID Server”的服務(wù)，它負(fù)責(zé)把數(shù)據(jù)信息推送到云實(shí)例中，其中推送的數(shù)據(jù)信息包括用戶和主機(jī)等活動目錄數(shù)據(jù)，這是ServiceNow可以把事件或幫助臺票據(jù)鏈接到特定用戶的功能，也是工程師在生產(chǎn)系統(tǒng)中可以通過ServiceNow的Configuration Item DB導(dǎo)入和管理實(shí)現(xiàn)維護(hù)的手段。

也就是說，通過其中的實(shí)例請求，攻擊者可以獲取到所有的內(nèi)部服務(wù)，包括IP地址和系統(tǒng)信息描述等，也能獲取到一些絕佳的請求更改、事件信息或服務(wù)請求票據(jù)。

為此，我特意寫了一個PowerShell腳本并轉(zhuǎn)化成Python，用它可以實(shí)現(xiàn)整個ServiceNow實(shí)例的數(shù)據(jù)下載，有了這個功能，漏洞最終從P4被提升到了P1。

漏洞上報后，特斯拉在3小時后就立馬刪除了該代碼庫，之后特斯拉在API接口請求中加入了對ServiceNow實(shí)例請求的MFA驗(yàn)證手段。

經(jīng)驗(yàn)總結(jié)

要擅于應(yīng)用搜索語法，上述的特斯拉代碼庫曝露在網(wǎng)已經(jīng)快3年多了，而其中的更新代碼恰巧就被我發(fā)現(xiàn)了；

自動化工具不能發(fā)現(xiàn)所有東西，有時候需要親自動動手；

任何要都可以發(fā)現(xiàn)漏洞，有些漏洞需要的漏洞技術(shù)并不是太多，但前提是你需要了解某些應(yīng)用邏輯，知道從哪下手。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注億速云行業(yè)資訊頻道，感謝您對億速云的支持。