1837620622/baxigpt-security-research
GitHub: 1837620622/baxigpt-security-research
针对 baxigpt.com API 表面的独立安全研究项目,包含已确认漏洞分析、后端架构推断和只读审计脚本。
Stars: 0 | Forks: 0
# baxigpt-security-research
针对 **baxigpt.com**(一个基于 FastAPI 的 ChatGPT Plus 卡密兑换网关)的独立安全研究与威胁情报文档。
本代码仓库整理了侦察产物、推断的后端架构、已确认的漏洞分析,以及适用于安全工程师、审计人员和评估 API 风险的集成合作伙伴的只读概念验证脚本。
## 执行摘要
| 项目 | 详情 |
|------|--------|
| **技术栈** | nginx/1.24.0 (Ubuntu) → FastAPI v0.1.0 → 推断的 PIX/BLIK 上游 |
| **目的** | 使用用户提供的 ChatGPT `accessToken` 进行卡密兑换 |
| **严重问题** | 速率限制绕过 (XFF)、`/api/query` 上的 BOLA、OpenAPI 管理员信息泄露、薄弱的管理员登录策略 |
| **管理员权限** | 未获取;会话认证经受住了广泛的测试 |
完整分析:**[docs/SECURITY-REPORT.md](docs/SECURITY-REPORT.md)**
## 快速复现
```
# 安装: none (仅限 stdlib)
python3 exploits/baxigpt_audit.py health
python3 exploits/baxigpt_audit.py code-info --code EU-HFNDFHD4
python3 exploits/baxigpt_audit.py query --code EU-HFNDFHD4
```
请参阅 **[docs/REPRODUCTION.md](docs/REPRODUCTION.md)** 获取所有命令。
## 仓库结构
```
.
├── README.md # This file
├── LICENSE # MIT (scripts); research disclaimer below
├── docs/
│ ├── SECURITY-REPORT.md # Primary findings report
│ ├── REPRODUCTION.md # PoC commands
│ ├── ARCHITECTURE.md # Backend reconstruction
│ ├── API-REFERENCE.md # Endpoint documentation
│ ├── ADMIN-SURFACE.md # Admin UI analysis
│ ├── THREAT-INTELLIGENCE.md
│ ├── METHODOLOGY.md
│ ├── INDEX.md
│ └── archive/ # Earlier working drafts
├── exploits/ # Read-only audit scripts
├── artifacts/ # JSON probe output
├── captures/ # Raw HTTP/HTML captures
└── recovered-code/ # Third-party API clients (GitHub)
```
## 已确认的发现(简述)
1. **速率限制绕过** — 轮换 `X-Forwarded-For` 可避免 `HTTP 429`([证据](artifacts/pentest-enum-bypass.json))
2. **BOLA / 隐私泄露** — `POST /api/query` 针对单个卡密返回所有订单和电子邮件([证据](artifacts/round8-cards.json))
3. **OpenAPI 暴露** — `/openapi.json` 列出了隐藏的管理员路由([捕获记录](captures/openapi.json))
4. **管理员登录策略** — 在 `/api/admin/login` 上未观察到限流([证据](artifacts/round7-full.json))
5. **输入验证缺陷** — 类型错误会导致 HTTP 500([证据](artifacts/round8-fuzz.json))
## 脚本
| 脚本 | 描述 |
|--------|-------------|
| `exploits/baxigpt_audit.py` | 统一 CLI:健康检查、卡密信息查询、数据请求、openapi |
| `exploits/ip_bypass_enum.py` | XFF 轮换 + 卡密枚举助手 |
| `exploits/round8_fuzz500.py` | 类型混淆模糊测试(请谨慎使用) |
## 文档导航
从 **[docs/INDEX.md](docs/INDEX.md)** 开始。
## 威胁情报
该服务与一个分发 EU/PIX 卡密的经销商生态系统(chirou.ai / web3chirou.com)有关联。该网站本身并未公布客服联系方式。详情请参见:[docs/THREAT-INTELLIGENCE.md](docs/THREAT-INTELLIGENCE.md)。
## 免责声明
本项目记录了以只读方式进行的**授权安全研究**技术。提供这些脚本和报告是为了用于防御性分析、集成风险审查和教育目的。
- **请勿**使用这些工具大规模暴力破解卡密、收集第三方凭证或破坏服务。
- 捕获的产物可能包含来自自愿测试流量的真实标识符;请妥善处理。
- 作者与 baxigpt.com 或其运营方没有任何隶属关系。
## 许可证
MIT 许可证 — 详见 [LICENSE](LICENSE)。研究文本及捕获的第三方内容仍受其各自条款的约束。
标签:API安全, CISA项目, JSON输出, Python, 威胁情报, 实时处理, 密码管理, 开发者工具, 无后门, 漏洞分析, 路径探测, 逆向工具