脆弱资产搜集
信息搜集过程中,除了用常见子域名扫一遍,还可以通过空间搜刮引擎手动搜刮。我用的就是把学校名称或者缩写作为关键字,利用语法:
web.body="关键字"&&web.body="系统"
web.body="关键字"&&web.body="登录"
web.title="关键字"&&web.body="管理"
web.title="关键字"&&web.body="后台"
等一系列语法举行挨个查看。
举行信息搜刮(你得有一套自己的信息搜集逻辑吧,否则连这个系统都找不到)后,找到一处教学管理系统,点击页面上方软件,点击蓝色链接,进入教学系统
[img=720,594.0837209302325]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404610.png[/img]
此处存在多个平台,但发现只有几个平台可以点击进入,先点击右上角的:国际结算
[img=720,366.4104967197751]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404611.png[/img]
出现一个登录框,发现存在注册按钮,而且注册没有任何限制,直接注册账号举行登录(能进后台肯定先进后台测试,之后再测登录框漏洞)
[img=720,413.97653194263364]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404612.png[/img]
后台敏感信息越权获取
进入后页面如下,挖洞必要首先观察功能点,将所有能点的都点一遍,将功能转化为接口,转化为数据包后,再举行测试。
[img=720,394.5928338762215]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404613.png[/img]
经过观察,除了修改个人资料与修改密码,其它均为查看资料的地方,尝试sql注入,RCE,文件包含,目录遍历等漏洞均无成果,于是将目光转到这两处功能点。
[img=720,540.2269861286255]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404615.png[/img]
点击修改个人资料,再点击生存,转到burpsuite查看数据包
[img=720,250.9020116807268]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404616.png[/img]
发现此处展现了我的账户,密码等个人信息,且数据包body较为简单,于是将数据包转到repeater举行测试。将userId改为2018发包,发现返回其他用户信息。
[img=720,392.54658385093165]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404617.png[/img]
经过尝试可以实现登录,再次将userId改为0001和0002直接展现管理员与超等管理员账号,并乐成登录。(经过尝试,大概能获取两千左右的用户信息。)
[img=720,358.63291139240505]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404618.png[/img]
[img=720,433.03877366997295]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404619.png[/img]
【----帮助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】
① 网安学习发展路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技能电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
未授权加越权
得到越权漏洞一个,但挖洞时注意数据包如果存在cookie等鉴权字段,就可以尝试删除,如果还能获取就大概存在未授权漏洞。
删除cookie后发包,再次乐成获取数据,退出登录,过了半天后再次发送数据包,仍旧乐成获取数据,于是又将危害扩大,能够实现未授权状态对恣意用户信息的获取。
继续查看先前的历史数据包,找到生存信息那一个数据包。将其发送到repeater模块举行分析。
[img=720,247.61658031088083]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404620.png[/img]
[img=720,452.4052206339341]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404621.png[/img]
接着先前思路删除cookie但修改个人信息失败。进一步分析数据包,发现两个可疑参数:head头的userId与body处的userId,经过尝试,将head头的userId修改可以实现越权修改他人信息,例如我将userId修改为2018再通过先前拿到的账户密码,发现他的信息已经被修改为了我的信息。
[img=720,455.59044368600684]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404622.png[/img]
[img=720,200.82089552238807]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404623.png[/img]
(经过尝试,以上漏洞通杀v1.v2.v3版本)
之后对修改密码处举行一套checklist无果......
编辑器文件上传利用
秉持着功能点多少决定攻击面大小的想法,我先登录进入了管理员账户。
在没有太多功能点的情况下,从分析js文件出发找功能点,有充足功能的情况下,就先将页面展现出来的功能点转化为接口测试,最后再分析js文件。
进入平凡管理员后台,先将整个后台功能点举行总览,先不要着急去测功能点,把功能点先点一遍,再从数据包开始分析。
在数据包中发现Editor字段,加上此处存在试卷编辑功能点,于是猜测大概使用了编辑器,在js文件中搜刮关键字:
[img=720,184.343163538874]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404624.png[/img]
直接找到kindeditor编辑器,此处直接想到可以尝试kindeditor的文件上传与目录遍历漏洞(多挖才会有思路)
注意此处涉及到接口拼接的一个问题,网上找的相关漏洞复现他们的路径并不是完全通用的,我们在做js拼接时也要注意,路径是否存在一个根路径,本例的根路径就是Content,如果你直接找网上的路径拼接到url处是不行的。
例如查看kindeditor版本的路径就应该是:
[img=720,201.3941018766756]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404625.png[/img]
为4.1.10貌似存在漏洞,于是访问如下界面:
[img=720,107.17808219178082]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404626.png[/img]
看到这个页面,根据我的履历估计稳了。于是按照步骤部署html上传页面,再将自己写另一个的xss的html通过自己的html页面举行上传,抓包得到返回路径,拼接后访问,乐成弹窗,此漏洞可在未登录状态完成。(另一个目录遍历漏洞未能乐成)
以下是kindeditor文件上传的html上传页面代码 xss代码自己写)- <head>
-
- <title>File Upload</title>
-
- </head>
-
- <body>
-
- <form enctype="multipart/form-data"
- action="http://******/Content/KindEditor/asp.net/upload_json.ashx?dir=file"
- method="post">
-
- <p>Upload a new file:</p>
-
- <input type="file" name="imgFile" size="50">
-
- <input type="submit" value="Upload">
-
- </form>
-
- </body>
[img=720,425.2479711451758]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407111404627.png[/img]
通过数据包还看到IIS版本为7.5尝试IIS解析漏洞与MS15-034(代码执行)无果。
更多网安技能的在线实操练习,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
