edusrc漏洞挖掘链-思路总结(二)
漏洞点
测试路径
Payload
总结
信息泄露
1、收集子域名--->httpx -path /xxxx -l /Users/helen/Desktop/lenovo.txt -title -tech-detect -status-code -threads 50 -web-server--->-path指定一个错误路径,让页面返回错误页面标题--->报错返回了敏感信息(绝对路径)
2、添加字符串--->引起程序报错(看是否有敏感信息,如绝对路径)
3、加错误字符串跳转首页--->采用添加参数的方法--->使他报错(返回敏感信息)
Httpx工具
工具+手工(就是得使你报错,且不跳转)
密码爆破
统一身份认证登录的条件入手-->用户名、密码(身份证后6位)规则--->信息收集(知道了后5位)
信息收集(查询一些公开信息,录取老师的化,会有老师身份证后几位)
善于信息收集+整合
弱口令+SSRF+XSS+getshell
1、弱口令进入后台
2、添加课程---->在课程列表中存在数据的回显
3、框内都插XSS--->弹窗
4、上传后门木马--->白名单检测--->重写文件名(双写)---->上传成功
测试回显、白单单尝试重写
每个地方都针对性测试
XSS+任意密码重置
1、使可以注册用户--->编辑个人信息--->插入xss--->弹窗--->获取到管理员cookie
2、受害者账号进行发送验证码(马上截取)--->将发送验证码的手机号改为了攻击者的--->收到验证码--->输入验证码--->重置了密码
Xss+参数的修改(2个账号)
看能否自己注册到账号
数据自动填充+id=1使管理员账号
注册用户的时候,存在数据的自动填充
2、id=1可以查看管理员信息--->(但是无法越权)--->使用弱口令进入管理员账号
数据不填完看能否提交+id参数的猜测
切勿走寻常路
任意密码重置
修改密码功能,请求包中有id参数,进行修改
可以注册2账号测试
弱口令+内网探测
1、用户手册(密码组成)---->bp爆破
2、vpn登陆后--->ip网段收集--->发现了存在的web服务--->数据库弱口令(内网多个web服务器存在漏洞)
Vpn弱口令进入内网
SQL注入
httpx进行一个存活探测--->在某个网站点击活动会进行跳转(URL变化)--->丢到sqlmap测试
Sqlmap
观测URL变化
弱口令+越权
1、云平台--->弱口令进入(无验证码的)
2、越权修改他人密码(修改参数loginNaem)
参数的修改
修改任何代表用户身份的参数
未授权访问
考试系统登陆界面--->看js--->找到后台目录(接口是重置密码的)--->(忘记密码--->找回密码方式--->重置密码) 重置密码界面--->重置了admin账号
分析js文件
寻找敏感目录
未授权+弱口令+getshell
1、目录扫描--->找到了未授权页面--->页面包含所有用户的id值--->反手弱口令爆破
2、上传文件--->存在白名单+重命名--->文件名截断(针对白名单)+目录的遍历(针对的文件重命名)--->getshell
文件名截断、目录遍历
登陆框注入+getshell
1、找.aspx后台--->存在万能密码(也就是存在注入)--->批量搜索同类型站点
2、上传文件--->存在白名单+重命名--->文件名截断(针对白名单)+目录的遍历(针对的文件重命名)--->getshell
登陆票据
1、找回密码处--->返回数据包中有找回是否存在提醒
2、使用已有账号测试密码重置流程--->密码重置处--->重置某人密码,会带上该人的Access-Reset-Ticket(登陆票据,拥有登陆票据就可以证明自己成功登陆过)----重置密码修改了管理员密码
参数的不严谨
验证码+隐藏参数+未授权
1、验证码一个请求包xxx_code--->赋值给第二个请求包的yyy_code--->验证码发送成功(每次把xxx_code--->yyy_code)--->验证码轰炸(企业src)
2、个人中心修改数据的地方--->邮箱(等参数)是不能修改--->抓住请求修改的数据包--->看见有邮箱等参数--->将数据包进行修改
3、未授权页面测试---->可以是dirsearch.py脚本跑(发现更多的目录)
观察每个参数在每一步数据包中是否有传递
绑定+验证码劫持+报错(敏感信息泄露)
1、扫码--->需要输入工号进行绑定(且这个地方没有任何验证)--->查看姓名、手机号、单位等(非敏感信息)
2、验证码登陆--->可以验证码劫持--->将请求包里面的手机号改为自己的--->发现收到验证码且可以登陆
3、发现前台的记录发布时间---->发布内容的时候修改时间点---->报错(爆出敏感数据)
任何值都有可能报错
自动填充(敏感信息)
1、登陆进入后修改密码--->自动填充学号、原密码等信息--->修改自动填充的学号--->实现了任意密码越权修改
观察数据包
流程问题
1、登陆界面输入学号、验证码--->再点击找回密码--->跳转到safe/sendphone1.jsp(发送短信验证码)--->但是这个页面的右上角显示是已经登陆成功状态---点击可以查看当前账号的敏感信息(通过这个界面还可以重置手机号+密保)
2、登陆成功以后--->访问/safe/user/log.jsp--->查看到用户的登陆ip、时间等
意向不到的流程
信息泄露
使用灯塔对edusrc进行信息收集
语法:host=”edu.cn” && country =”CN”
(不知是否还可以对edusrc收集)
灯塔
版权归原作者 黑色地带(崛起) 所有, 如有侵权,请联系我们删除。