[SRC漏洞挖掘](千疮百孔的网站)

  • A+
所属分类:安全文章

---本文来自:说书人的原创文章,旨在分享在漏洞挖掘中的思路以及遇到的阻碍,仅供学习交流,切勿任意妄为!



# 001 前言

写一次正在进行的漏洞挖掘过程,我们在拿到站点的时候首先先不要着急,先看一下有哪些功能点可供我们开始测试,先梳理好思路在进行漏洞的挖掘以免在后面越做越乱,


# 002 挖掘过程
开始拿到一手站点的时候可以测试的功能点也许像这样一样很少没有几个可以测试的点,但也不要转手就关了,就目前这个站点可以测试的点来说就一个注册处,注册之后能不能用还要两说

[SRC漏洞挖掘](千疮百孔的网站)

先测试sql和xss有搜索框的这两个漏洞是目前来说最明了的,测试sql无果在这里就不写了,测试存在xss没有过滤,先构造语句

[SRC漏洞挖掘](千疮百孔的网站)

[SRC漏洞挖掘](千疮百孔的网站)


发现不存在任何waf和过滤函数的情况直接常见xss打就可以

[SRC漏洞挖掘](千疮百孔的网站)


这时候我们得到一个反射型的xss但是反射型的就没有存储的香所以要尽可能利用这个唯一的注册功能去搞成存储性

[SRC漏洞挖掘](千疮百孔的网站)

打开注册面板可以发现很简单没有前端的验证码,不知道有没有其他的防护措施,先抓包

[SRC漏洞挖掘](千疮百孔的网站)


其他东西没有什么可看的我就先打码了,抓包放到重放器之前还有一步就是先查看返回包,要知道正确的返回包是什么样子的,也可以方便以后我们验证另外一个漏洞,任意用户登入(修改返回包登入)

在这可以看见也没有任何验证码,这就构成了短信轰炸,

[SRC漏洞挖掘](千疮百孔的网站)

进行下一步,当我们将验证码输入之后提示我们需要拟定一个账号和密码,在点击确定的时候抓包

[SRC漏洞挖掘](千疮百孔的网站)

老规矩先看返回包,放到重发器里面尝试修改了手机号发现依然可以注册,服务端没有二次校验,又喜提任意用户注册,

现在开始登入点的测试,在登入的时候一样执行上面的操作,留下返回包开始验证能不能用返回包登入

[SRC漏洞挖掘](千疮百孔的网站)


在这我输了一个错误的密码,查看返回包

[SRC漏洞挖掘](千疮百孔的网站)

把登入成功的返回包放上去试一下能不能登上

[SRC漏洞挖掘](千疮百孔的网站)

这是我之前登入成功时的返回包复制粘贴看一下效果

[SRC漏洞挖掘](千疮百孔的网站)

没有问题一样成功登入正确这又形成了任意用户登入漏洞,

还记得我们刚开始测试的是什么漏洞吗?这都是捎带手测试的,正事是哪个存储的xss点击个人中心开始想办法把xss代码放进去

但打开个人中心只能写简历但写好的简历死活就是不能保存,于是我想抓包重新注册账号将账号名字注册成xss代码,试来试去各种过滤,但这时候有意思的事情发生了,在登入的时候心急直接注册了一个空账号,是试着用空账号进行登入发现依旧可以,这看起来好像没有用其实完全可以测试我能不能注册成andmin这种账户,

注册好久之后我还是不行,新注册的用户虽然提示让你写简历但完全不能保存,于是我直接找了实际存在的用户进行登入在简历里面加了xss代码,(后续将xss代码删除没有影响正常用户使用)

[SRC漏洞挖掘](千疮百孔的网站)

到这xss就完成了,


在进行简历填写的时候发现了其实是可以直接上传简历的,于是正常开始文件上传漏洞,只验证了mime类型和文件后缀,修改成允许的类型加双写成功过滤,(本人怂不敢正经写一句话)f12找到头像点击查看文件地址成功上传

[SRC漏洞挖掘](千疮百孔的网站)

文件上传成功拿下

如果上传的是一句话就是直接Getshell了,一般意义上一个站到了这种程度基本完结。

但我能说完就完吗,渗透的意义在于扩大战果,既然我们都不打算搞内网了那我们在web方面就要做的好一些,接下来横向的信息收集,先找真实ip多地ping国外ping常规操作,找到ip直接fofa

fofa之后发现有许多子站和其他业务网站存在有很多业务都挂掉了为了不打扫惊蛇就没有动用扫描器进行扫描,接下来就是在子站进行渗透,方式也是像上面一样根据功能点的不同进行测试,

陆陆续续找到几个小漏洞就没有像上面那样高危了,以信息收集为开始以信息收集为结束,有始有终。


 


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: