大家好！今天我将介绍在fofa客户端发现的一个漏洞，它可让我获取他人的敏感信息，劫持帐户。email和api key 是用户登陆fofa客户端的凭证，知道了email和api key可以获取用户提交的漏洞信息及POC源码。

你可以通过客户端里进行POC的编写、发布，也可以在商城里看有哪些新的POC发布了。

fofa客户端商城搜索

搜索信息

在fofa客户端里可以进行POC搜索，对应的URI是/exploits/shop_search；可以搜索的数据类型有一些，比如标题名称、漏洞作者、漏洞价值F币、是否包含EXP等，大致信息如下表：

搜索语句结构

搜索语句都放在字典/列表 q 里，语句的结构是参数+逻辑判断的结构。

比如users_username_eq中users_username表示搜索的信息是用户名；

_eq表示搜索逻辑是等于；类似地包含就是_cont，大于是_gt，小于是_lt。

email、Key 信息获取

漏洞原理

如果users_username_eq搜索的是用户名等于什么值，那么如果搜索key里面包含什么值的话，对应的语句就是users_key_cont。

上图中，搜索的语句是/exploits/shop_search?fofacliversion=3.10.4&q%5Busers_key_cont%5D=ab2719&q%5Busers_username_eq%5D=mark0smith，其中q%5Busers_key_cont%5D=ab2719表明搜索的key中包含ab2719，而下方Referer中的key页包含该值，查看右侧相应条目数返回了十个漏洞EXP信息，这是个正常的结果。

而下图中搜索的语句为包含ab2718，与实际情况不符，所以右边没有返回漏洞信息，这是个搜索异常的信息。

通过这种不停地包含测试，我就可以一位位推断出所需要的信息。

email、key获取

知道了上面的原理，只要一位一位的进行尝试就可以得到完整的信息了，就像SQL注入一样。以获取key为例，当我正常登录客户端后，正常的商店搜索请求如下（注意，此时我已将URL中的name和key改为其他用户的）：

此时我将URL中的key的值截取部分，请求依然正常：

而当key中的字符顺序错乱时，达不成包含关系，将不会返回数据：

总而言之，只要你登陆成功，拥有有效的session，就可以对他人的key进行暴力猜测。

时间线

2020年1月10日：漏洞发现，立刻上报

2020年1月10日：fofa确认漏洞存在，立刻采取临时防御措施

2020年1月12日：漏洞修复完成，发放奖励（300F币）

此次渗透只进行了漏洞确认，并未非法抓取任何数据。在发现漏洞后作者及时和FOFA官方进行了交流，经过对流量和日志的审计，并未发现有实际利用的痕迹，更没有对其他用户产生影响（泄露POC等）。为了加强安全性，建议所有会员立刻前往主页更新自己的key。

NOSEC欢迎各位安全人员向我们提交所有和白帽汇相关的网站的漏洞，我们将根据漏洞详情给予对应奖励。