安全矩阵

 找回密码
 立即注册
搜索
查看: 3240|回复: 0

详细记录一次CNVD原创漏洞证书挖掘过程

[复制链接]

189

主题

191

帖子

903

积分

高级会员

Rank: 4

积分
903
发表于 2022-6-4 12:22:15 | 显示全部楼层 |阅读模式
原文链接:详细记录一次CNVD原创漏洞证书挖掘过程 (qq.com)

前言
好早之前的报告了,这里详细描述一下,主要写一下我在挖掘证书的一些小技巧和思路,后续再继续写一篇挖掘CNVD证书筛选目标的文章,最后原谅我的重码。

经过
忘记了当时是挖掘一个什么SRC,反正拿到了一个登录框,熟悉的登录框开局。该登录框是一套通用设备的系统,所以我在CNVD漏洞库搜索该系统是否存在漏洞,一查存在一个弱口令,然后我就拿出了我祖传的弱口令用户字典和密码字典,没跑进去。然后我接着利用fofa搜索同类站点继续跑,跑了几个我有点怀疑是否存在弱口令了。为了准确的猜测该系统的口令和密码,我利用爱企查查询了该公司的其他资产,这里利用了一个思路是该公司开发了这套系统,那么该公司可能还会开发其他的系统,而两套系统的账号和口令很有可能是相同的,就这样我找到了另外一个登录框。
编辑
经过测试利用弱口令进入了该系统,这样我知道这套系统的弱口令,这样你就可以拿该弱口令测试你要测试的系统,很遗憾没有登录成功,但是经过其他的同类站点,发现确实是存在该口令的,只不过我们要测试的站点的口令被修改了。后面由于漏洞利用面太少,所以放弃该套系统的漏洞挖掘。经过爱企查发现该公司,注册资产满足了5000万,那么只需要满足挖掘一个中危漏洞出来就可以获取证书了。虽然在挖掘过几张CNVD证书之后,已经没有了最初挖掘的激情了,这种低质量的漏洞挖掘对自己的技术也没有多大的提升,但是账号和口令都知道了,又没忍住,所以就浅挖了一会。

大家都知道,前台相对后台相比功能较少,所以漏洞利用面有限,而你只是想刷一张证书的话,你完全可以利用我这个思路,你拿到一套系统,前台你可以浅测一下,主要可以测试一下该系统的口令,如果测试出来弱口令的话,就可以在后台深入挖掘一下,没测试出来,就可以换套系统去挖掘了,而且后台的代码防护措施也会相对弱一点。

命令执行
由于我们前面拿到了口令,并且同类系统也大多存在弱口令,进入后台
编辑
发现存在一个网络检测功能
编辑
这不就感觉到命令执行在向你招手吗,首先我测试了一下127.0.0.1,但是发现不能用该地址检测,但是又不通外网,所以需要知道内网一个IP,在后台翻来翻去,找到了内网的地址。


编辑

测试可以ping通,那么抓下包

编辑


发现destination参数,然后利用如下包
编辑
这命令执行是不是就到手了,这不就是DVWA的初级难度吗

任意文件下载
之前由于是在一个系统测试的,然后写报告忘记了之前打的时候是哪一个系统,另外一个系统同样的地方不存在文件,所以下在不了,但是自己记录了接口的url,自己比较懒,就没有去寻找是那一个系统了。首先还是在后台翻翻,翻到一个文件下载的地方,这里没图了,师傅们自己脑补一下。点击抓包发现如下的接口
  1. https://xxx.xxx.xxx.xxx:xxxx/fileServlet?action=downloadDbBackupFile&userToken=xxxxxxxx&fileName=文件位置
复制代码


然后利用如下
编辑
由于知道文件下载的接口,其他系统虽然不存在文件,但是我们可以通过抓取token,替换token让后访问该接口,进行利用即可。

存储xss
系统存在添加用户功能
编辑
抓包
编辑
触发弹窗
编辑

当然存储XSS由于是后台打进去的,没有权限的跨越,且需要高强度认证,所以CNVD是不收录的,这里只是记录下当时的挖掘过程。

END
除去存储xss,两个有效漏洞,提交两份报告,然后坐等证书(满足注册资本大于等于5000万和漏洞等级大于等于中危)。整个挖掘过程就是一个妥妥的DVWA且还是LOW等级的,这里主要还是讲解一下想要刷一个证书的思路,后续再详细写一篇筛选目标和其他的挖掘方法。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 04:57 , Processed in 0.012524 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表