三个月测一站之毛病挖掘纯享版
好久前偶遇一个站点,前前后后大概挖了三个月才根本测试完毕,出了很多多少毛病,也有不少高危,如今对部分高危毛病进行总结分析。nday进背景:
开局一个登录框:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708413.png
通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台的权限绕过nday成功进入背景。
语句:xxx体系历史毛病 or xxx平台历史毛病
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708416.png
如上图,拼接payload,通过/../..;号实现权限绕过:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708417.png
302跳转进入背景,发现为管理员界面。
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708418.png
进入一个体系时,一定不要发急立刻测试,要先总体看看这个体系的功能点,根本结构,布局,然后再将功能点转化为数据包,接口,参数进行测试。
总体看了看体系功能点,便点进个人信息处,尝试文件上传毛病getshell。
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708419.png
点击选择,随后页面进行了一个奇怪的跳转:新开了一个页面
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708420.png
我先尝试文件上传,不外只能上传图片格式,我观察到该文件路径中存在:type=images,于是尝试将images自行修改,不外这种页面居然不能修改url,于是复制url放到正常浏览器访问,尝试修改无果。
【----资助网安学习,以下全部学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】
① 网安学习成长路径头脑导图
② 60+网安经典常用工具包
③ 100+SRC毛病分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
发现页面存在修改文件后缀功能,但也被限制。
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708421.png
这时我发现站点采用了ckfinder编辑器,于是按照:xxx历史毛病继续搜索:\
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708422.png
翻看大量文章后并未发现能成功复现的毛病,但我发现了ckfinder的一个新路径:
将url的?后面全部删除进入如下界面:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708423.png
这时发现刚才原来只是处于images文件夹下,所以被限制很严酷。
于是我再次在files文件夹下上传可执行文件,但jsp和php之类均被限制,jspf或者jspx也无法绕过,只有尝试xss范例文件上传了:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708425.png
上传发现关键字被黑名单限制,于是先上传了一个空的txt文档,上传后再对内容,后缀名进行修改:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708426.png
修改如下:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708427.png
双击访问:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708428.png
成功执行恶意js代码,造成弹窗,这种毛病就会很容易在管理员访问时,直接将cookie盗取。
同时记住,想这种功能点,属于站点较为深入的功能点处,还极可能存在未授权访问毛病,删除认证字段访问:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708429.png
访问成功,由此获得未授权访问加xss范例文件上传毛病。
这种范例毛病就可用作挂马,制作钓鱼页面等高危害操作。
多处sql注入毛病:
该站点功能点许多,这也是为什么我测了很久的原因:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708430.png
注入点1:
颠末翻找发现如下页面,可直接执行sql语句:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708431.png
输入sql语句抓包查看:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708432.png
延时成功,虽然从设计功能点来看,这其实并不能算是毛病,因为自己开发者就是要这么设计的,但在挖掘毛病时,这种功能点依旧可以通过审核,且在实战中如果这类功能点没有做好权限限制,也能利用sql语句获取敏感信息,写马,修改账户暗码等。
注入点2:
功能点如下,此站点查询功能点极其多,但并不是每一个都有毛病,所以黑盒测试就须要一个个慢慢测试:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708433.png
抓包,输入单引号报错,两个单引号页面正常,尝试sql手注:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708434.png
利用堆叠注入延时成功。
数据库的遍历:
继续探索,发现如下页面:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708435.png
先前便提到过,黑河测试一定要将功能点转化为数据包,接口,参数进行测试,不然这时我可能只会看到一个数据库信息而已。
我翻看该功能点数据包时,直接就发现了显现该页面的请求包与返回数据:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708436.png
如上图,泄露了数据库地点,账户暗码。
但此时留意请求包参数:id=1,很显着,我直接遍历id值:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708437.png
在前端其实只能看到一个数据库的地点,用户暗码。也就是id=1时的数据,而转化为数据包观察,直接实现数据库信息遍历,拿下五台数据库敏感信息,包含mysql,oracle等范例,危害瞬间扩大。
更多网安技能的在线实操练习,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]