针对Swagger接口泄露未授权的初探

扫码领资料

获网安教程

本文由掌控安全学院 -  Tobisec 投稿

来 Track安全社区投稿~

千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

0x1 前言

这篇文章呢主要是给师傅们分享下最近在学习的Swagger相关的漏洞，针对于Swagger接口未授权访问已经常见的敏感信息文件泄露的漏洞来给大家分享下。其中在挖企业src的是时候，其实在利用灯塔ARL在对其域名或者站点扫描时候，Swagger接口泄露的漏洞也是蛮常见的。

0x2 Swagger漏洞简介

Swagger 是一个用于设计、构建、文档化和使用  RESTful 风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面，让开发者可以更方便地查看和测试 API 接口 。然而，在一些情况下，未经授权的访问可能会导致安全漏洞。

下面是总结的常见的Swagger接口泄露信息存在的位置：

1/actuator查看有哪些 Actuator端点是开放的。/actuator/auditeventauditevents端点提供有关应用程序审计事件的信息。/actuator/beansbeans端点提供有关应用程序 bean 的信息。/actuator/conditionsconditions端点提供有关配置和自动配置类条件评估的信息。/actuator/configpropsconfigprops端点提供有关应用程序@ConfigurationPropertiesbean的信息。/actuator/env查看全部环境属性，可以看到 SpringBoot 载入哪些 properties，以及 properties 的值（会自动用*替换 key、password、secret 等关键字的 properties 的值）。/actuator/flywayflyway端点提供有关 Flyway 执行的数据库迁移的信息。/actuator/health端点提供有关应用程序运行状况的health详细信息。/actuator/heapdumpheapdump端点提供来自应用程序 JVM 的堆转储。(通过分析查看/env端点被*号替换到数据的具体值。)/actuator/httptracehttptrace端点提供有关 HTTP 请求-响应交换的信息。（包括用户HTTP请求的Cookie数据，会造成Cookie泄露等）。/actuator/infoinfo端点提供有关应用程序的一般信息。

漏洞分析

Swagger漏洞 存在的原因主要是Swagger未开启页面访问限制，然后就是Swagger未开启严格的 Authorize认证 ，就很容易导致攻击者找到该站点存在Swagger泄露接口的地址，然后通过 Swagger-UI插件 等一些工具进行敏感信息泄露利用。

注： Authorization 是指根据用户提供的身份凭证，生成权限实体，并为之授予相应的权限。

0x3 资产收集

FOFA

FOFA检索Swagger相关站点

1body="Swagger" && title=="Swagger UI"

还有可以看到很多的icon图标，特别是对某个icon图标要是打通一个点，很有可能就能利用其打一个通杀漏洞了

但是其中主要的还是Swagger的那个绿色图标的站点多

鹰图

1web.body="Swagger"&&title=="Swagger UI"

0x4 工具篇

上面我也给师傅们介绍了使用工具对 Swagger  接口泄露进行一个扫描，下面给师傅们介绍下使用曾哥的 spring-boot漏洞扫描工具 进行一个接口泄露的扫描。

https://github.com/AabyssZG/SpringBoot-Scan

1python SpringBoot-Scan.py -u url

Swagger 也是spring二次开发的产品，所以一般找Swagger 接口信息泄露的漏洞可以去找spring-boot经典报错的页面，下面就是经典的spring-boot报错页面：

对于这样的大批量的测试的话，可以使用FOFA检索语句，就对上面的一个关键字进行检索

FOFA语句：

1body="Whitelabel Error Page"

可以看到里面的icon数量非常多，

0x5 实战实例

泄露swagger文档

这里我先是通过上面的spring-boot工具扫描泄露到泄露swagger接口如下，

1swagger-resources

然后我们可以对泄露的接口进行分析，可以简单看下泄露了一些版本信息包括可以看到这个站点存在OSS储存桶，到时候可以去判断下有没有云安全OSS储存桶漏洞

Swagger-UI插件

师傅们可以在Google商店下载这个插件

然后使用该插件进行接口查看，后面利用bp打下未授权，因为里面的请求有POST和GET方式

下面找到一个接口可以获取用户的密码，先保存着

再使用里面的接口可以直接找到用户root

后来利用下面的Swagger接口看日志，然后找到了该日志里面的root管理员的登录后台的url

然后利用找到的root用户和开始找到的密码进行组合，成功登录到该管理员后台了

0x6 总结

对呀Swagger的相关漏洞的分享就到这里了，主要是对呀一些常见的接口的泄露进行一个判断，然后要是有条件的师傅可以买个云服务器然后使用灯塔ARL进行批量探测和扫描，在挖企业src的时候还是蛮有帮助的哈！

1申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.
2
3
4没看够~？欢迎关注！
5分享本文到朋友圈，可以凭截图找老师领取
6上千教程+工具+靶场账号哦
7
8 分享后扫码加我！
9
10回顾往期内容
11Xray挂机刷漏洞
12
13零基础学黑客，该怎么学？
14网络安全人员必考的几本证书！
15
16文库｜内网神器cs4.0使用说明书
17
18代码审计 | 这个CNVD证书拿的有点轻松
19【精选】SRC快速入门+上分小秘籍+实战指南
20    代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！
21
22点赞+在看支持一下吧~感谢看官老爷~ 
23你的点赞是我更新的动力