安全矩阵

 找回密码
 立即注册
搜索
查看: 2179|回复: 0

实战 | 记一次众测漏洞挖掘

[复制链接]

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2022-4-17 17:02:43 | 显示全部楼层 |阅读模式
实战 | 记一次众测漏洞挖掘
j4m13d HACK学习呀 2022-04-17 11:56
原文链接:实战 | 记一次众测漏洞挖掘
有一段时间没有写博客了,最近一直在忙着在补天啊,edusrc上挖漏洞,收获还算不错吧。随后又在360参加了第一次众测,定向挖掘漏洞还是挺有意思的,记录一下呗

0X00    我爱js
来到厂商ip段下的某站点,一进去就不对劲,直接就给我弹出后台的界面了,不过啥数据也没有,而且下一面就给我弹回到登录界面了

这么看这个站肯定很好搞吧,登录界面显示的是某某cms,没听说过,先网上搜搜历史漏洞先

找了半天,除了发现几个名字一样的外,就没有个看起来差不多的cms,应该是公司内部自己开发的系统吧

接下来尝试功能点了,试着尝试一下重置admin的密码

用的邮箱验证,admin没设置邮箱,还重置不了,因为有waf的原因,我也不敢爆破用户名,测试sql的话也让容易被wafban掉ip,先放放先

尝试一下登录后台,使用admin admin伪万能密码登录,抓包再放包,观察一下返回的包,发现返回了一个啥也没有的括号


没登录进去,尝试在返回包中添加内容,添加一个1,发现可以跳转到后台

然而在发完这个包以后,我又被弹出到登录界面了



将401修改成200也没啥用,估计是后端对session里的信息进行了检验,没有用户数据时登入后台将会强制弹出
估计还有机会,看看js里有没有啥能够未授权访问的接口,在js里搜索一下url,ajax,path等字段

然而都是

接口不行,那就只能再看看登录的逻辑了吧,结果倒还是有了发现,在登陆的接口这里,首先会判断返回的包中是否有信息,如果没有,则提示错误,如果有的话,就将这些信息写入session中


然后这是在后台检查我们是否登录的那个请求,可以看到他会将此次发包返回的信息与session中存储的信息进行对比,如果不同则强制退出后台,那么,我们是不是只要构造两次返回包,使得满足这些判断条件,我们就能够稳稳的进入后台了呢

试试呗,修改第一个返回包

修改第二个

放包!发现已经能够稳稳地进入后台了
?咋啥都没有,估计是构造的东西不对.....

再看看js吧,在后台我们能看到更多前台看不到的js,说不定有未授权访问的接口呢
然而接口没找到,找到了个更好的东西,重置后的密码,应该是经过加密后的

当时脑袋里灵光一闪,直接奔向登录页面,用admin账号提交抓包,在抓包页面直接用重置密码替换密码

进去了捏,应该能算个弱口令吧,还是算信息泄露?


0X01    小洞小洞

进去了再测测功能点
在邮箱推送里看到了重置密码推送的邮件,所有人重置的密码都是一样的,而登录界面的重置密码只需要输入正确的用户名就会直接发送邮件,所以我们只要知道任意的用户名,就能重置他的密码为该密码,登录他的账号,任意密码重置漏洞+1

这后台的上传功能点挺多,就是限制的死死的,上传脚本语言文件就会被ban,最后只找到了这么一处功能点
在某上传点可以上传xml文件

我们将xml里面的内容替换为后上传
<html><head></head><body><something:script xmlns:something="http://www.w3.org/1999/xhtml"> alert(document.cookie);</something:script></body></html>再访问上传的文件,就能触发xss,获得cookie,应该也能算个中危吧

0X02    真*峰回路转

屁颠屁颠交洞去咯,熬过了难熬的清明节假日,终于等来了审核上班的日子了,准备领工资咯
????????啥情况

密麻麻石蜡 明明是在该公司ip段下,域名是他们的,里面员工也是他们的,头像也是他们的,合着不是他们的资产是吧,大无语了属于是


文章来源:j4m13d's blog地址:1dopez1andyan.top作者:j4m13d
如有侵权,请联系删除


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 14:37 , Processed in 0.018426 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表