首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >.git文件泄露导致Zendesk面板被接管的技术分析

.git文件泄露导致Zendesk面板被接管的技术分析

原创
作者头像
qife122
发布2025-09-27 22:01:22
发布2025-09-27 22:01:22
1790
举报

.git文件如何导致Zendesk面板被接管

Abdelrhman Allam (sl4x0) 关注 · 2024年4月25日 · 1821次阅读

بِسْمِ اللَّهِ الرَّحْمَـٰنِ الرَّحِيمِ

各位黑客同仁好!在BugSwagger最近的渗透测试任务中,我发现了允许接管管理员Zendesk面板的.git路径漏洞。

技术背景

本文重点披露在git仓库中发现的关键漏洞。该漏洞允许未授权攻击者使用简单命令获取完整源代码库,并获得Zendesk面板的完全访问权限。

漏洞利用过程

通过以下命令使用goop工具下载.git文件:

代码语言:bash
复制
goop https://uat1-middleware.REDACTED.com/.git

下载的源代码中包含名为zendesk_functions.php的文件,其中以明文形式存储敏感凭证:

代码语言:php
复制
define("ZENDESK_API_USERNAME", "REDEACTED@REDEACTED.com");
define("ZENDESK_API_PASSWORD", "REDEACTED_PASSWORD");
define("ZENDESK_API_URL", "https://yourcompany.zendesk.com/api/v2/tickets.json");

漏洞验证

为确认凭证有效性,我访问https://www.zendesk.com/login/ 使用这些凭据登录。如下图所示,我们获得了没有任何限制的完整管理员面板访问权限。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • .git文件如何导致Zendesk面板被接管
    • 技术背景
    • 漏洞利用过程
    • 漏洞验证
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档