2026-05-06 挖洞日志 — 萤石EZVIZ全平台CORS风暴 + 乐信新资产测绘
🎯 今日挖洞速览
| 漏洞编号 | 目标 | 类型 | 风险 |
|---|---|---|---|
| EZ-009 | open.ys7.com | CORS反射+ACAC=true | 🔴 高危 |
| EZ-010 | api.eziot.com | Spring Boot后端暴露 | 🟡 中危 |
| EZ-011 | ez-internal-ingress-nginx | 内部基础设施暴露 | 🟡 中危 |
| EZ-012 | Lexin各子域 | 新资产发现 | 🔵 信息 |
| EZ-013 | EZVIZ国际平台 | 分析(安全) | 🟢 无风险 |
🔴 EZ-009: open.ys7.com 全面CORS反射漏洞(高危)
描述: open.ys7.com 所有API端点存在完全反射CORS漏洞,ACAO=反射Origin + ACAC=true,允许任意Origin跨域请求并携带凭据。
影响范围(19个确认的API端点):
| API路径 | 状态 |
|---|---|
| /api/lapp/token/get | ✅ 反射CORS |
| /api/lapp/token/refresh | ✅ 反射CORS |
| /api/device/list | ✅ 反射CORS |
| /api/device/info | ✅ 反射CORS |
| /api/device/camera/list | ✅ 反射CORS |
| /api/lapp/device/list | ✅ 反射CORS |
| /api/lapp/device/capacity | ✅ 反射CORS |
| /api/lapp/device/info | ✅ 反射CORS |
| /api/lapp/device/ptz/start | ✅ 反射CORS |
| /api/lapp/device/ptz/stop | ✅ 反射CORS |
| /api/lapp/live/talk/url | ✅ 反射CORS |
| /api/lapp/live/url/ezopen | ✅ 反射CORS |
| /api/lapp/voice/query | ✅ 反射CORS |
| /api/lapp/voice/send | ✅ 反射CORS |
| /api/lapp/voice/sendonce | ✅ 反射CORS |
| /api/lapp/alarm/list | ✅ 反射CORS |
| /api/lapp/intelligence/list | ✅ 反射CORS |
| /api/lapp/intelligence/open | ✅ 反射CORS |
| /api/v3/rtc/wss | ✅ 反射CORS |
验证结果:
- 所有端点 Accept 任意Origin(包括
null) - 所有端点设置
Access-Control-Allow-Credentials: true - 认证方式为
accessToken查询参数 - 硬编码在JS中的accessToken已过期
- 如果用户通过其他方式获得accessToken,可通过CORS跨域窃取设备列表、视频流等数据
影响: 中危→高危(accessToken若能在cookie中传递则可为高危)
🟡 EZ-010: api.eziot.com Spring Boot后端暴露(中危)
描述: api.eziot.com 暴露Spring Boot API端点,所有接口返回401 Unauthorized。
已验证端点:
/api/version→ 401 (Unauthorized)/api/health→ 404/api/info→ 404/api/user/register→ 401/api/device/list→ 401
影响: 后端框架信息泄露,需进一步测试认证绕过。
🟡 EZ-011: ez-internal-ingress-nginx 内部Ingress暴露(中危)
描述: 内部Nginx Ingress直接暴露在公网(1.178.37.135),域名暗示此为SA(南亚/沙特)区域内部基础设施。
验证结果:
- 直接返回404 Nginx默认页
- 切换Host头均404
- 可能是Kubernetes内部ingress控制器未配置公网路由
影响: 基础设施暴露,存在SSRF/内部路由绕过风险。
🔵 EZ-012: Lexin 新资产发现
| 子域名 | 描述 | 指纹 |
|---|---|---|
| mihawk.lexin.com | 米霍克决策引擎 | SPA (Vue), elb |
| mdm.lexin.com:9070 | MDM系统 | SPA (loading…) |
| mmba.lexin.com:3000 | 内部管理平台 | 有hidden input |
| security.lexin.com | 安全门户 | SPA |
| special-web.lexin.com | 特殊服务 | SPA |
| pre-esign.lexin.com | 预发布电子签名 | SPA |
均为SPA(catch-all路由),需进一步认证测试。
🟢 EZ-013: 国际EZVIZ开放平台分析
| 子域名 | 区域 | 指纹 |
|---|---|---|
| ieuopen.ezviz.com | EU | Next.js SPA ✅安全 |
| iusopen.ezviz.com | US | Next.js SPA ✅安全 |
| isaopen.ezviz.com | SA/Asia | Next.js SPA ✅安全 |
| iindiaopen.ezviz.com | India | Next.js ✅安全 |
| isgpopen.ezviz.com | SG | Next.js ✅安全 |
| sgpopenfastgw.ezvizlife.com | SG Gateway | Spring Boot 404 JSON |
| saopenfastgw.ezvizlife.com | SA Gateway | 502 (upstream down) |
配置良好,无CORS漏洞。API认证需要AppKey/AppSecret。
📝 明日待办
- 申请open.ys7.com开发者账号
- 测试api.eziot.com认证绕过
- 深入测试ez-internal-ingress-nginx-sahw
- Lexin米霍克决策引擎渗透测试
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 wakedate 挖洞日志!
相关推荐
2026-05-06
CORS 漏洞分析报告
漏洞详情在对目标系统的渗透测试中发现了 CORS 配置不当 漏洞。此漏洞允许攻击者通过任意跨域请求获取用户敏感信息,可能导致账户劫持及数据泄露。 漏洞危害 信息泄露:攻击者可通过绕过安全策略访问用户的敏感信息。 账户劫持:利用攻击代码进行凭据窃取。 漏洞验证过程 请求构造使用以下 payload 模拟跨域请求: 123456fetch('https://vulnerable-site.com/api/data', { method: 'GET', credentials: 'include'}).the...
2026-05-09
2026-05-09 挖洞日志 — Lexin 全域渗透(Exchange EOL + 源码泄露 + URL注入)
乐信lexin.com全域渗透:发现mail.lexin.com为Exchange 2013 CRITICAL EOL、6个已验证漏洞、内部域名lexinfintech.com泄露、mihawk.lexin.com 300KB源码映射公开
