全网-edusrc专题(二)
开学 每一天
1、【导读】4K+edusrc案例总结(二)
2、【思路速成】快速融入实战环境
3、【免费】技术共享原则,持续免费更新
4、【遵守版权】对于创作好的思路,后台发送"幼儿园",获取完整excl,关注有技术的师傅
5、【遵纪守法】遵守相关的法律法规,只做技术研究、切勿用作非法用途,所产生的后果与本文无关
后台暗号:【幼儿园】,excl附带原文URL,关注每一位有技术的师傅,使创作者都能在黑暗中找到光明。
幼儿园我又来啦
用微笑改变世界
|
漏洞点 |
测试路径 |
Payload |
总结 |
|
信息泄露 |
1、收集子域名--->httpx -path /xxxx -l /Users/helen/Desktop/lenovo.txt -title -tech-detect -status-code -threads 50 -web-server--->-path指定一个错误路径,让页面返回错误页面标题--->报错返回了敏感信息(绝对路径)
2、添加字符串--->引起程序报错(看是否有敏感信息,如绝对路径)
3、加错误字符串跳转首页--->采用添加参数的方法--->使他报错(返回敏感信息) |
Httpx工具 |
工具+手工(就是得使你报错,且不跳转) |
|
密码爆破 |
统一身份认证登录的条件入手-->用户名、密码(身份证后6位)规则--->信息收集(知道了后5位)
|
信息收集(查询一些公开信息,录取老师的化,会有老师身份证后几位) |
善于信息收集+整合 |
|
弱口令+SSRF+XSS+getshell |
1、弱口令进入后台
2、添加课程---->在课程列表中存在数据的回显
3、框内都插XSS--->弹窗
4、上传后门木马--->白名单检测--->重写文件名(双写)---->上传成功 |
测试回显、白单单尝试重写 |
每个地方都针对性测试 |
|
XSS+任意密码重置 |
1、使可以注册用户--->编辑个人信息--->插入xss--->弹窗--->获取到管理员cookie
2、受害者账号进行发送验证码(马上截取)--->将发送验证码的手机号改为了攻击者的--->收到验证码--->输入验证码--->重置了密码 |
Xss+参数的修改(2个账号) |
看能否自己注册到账号 |
|
数据自动填充+id=1使管理员账号 |
1、注册用户的时候,存在数据的自动填充
2、id=1可以查看管理员信息--->(但是无法越权)--->使用弱口令进入管理员账号 |
数据不填完看能否提交+id参数的猜测 |
切勿走寻常路 |
|
任意密码重置 |
修改密码功能,请求包中有id参数,进行修改 |
可以注册2账号测试 |
- |
|
弱口令+内网探测 |
1、用户手册(密码组成)---->bp爆破
2、vpn登陆后--->ip网段收集--->发现了存在的web服务--->数据库弱口令(内网多个web服务器存在漏洞)
|
Vpn弱口令进入内网 |
- |
|
SQL注入 |
httpx进行一个存活探测--->在某个网站点击活动会进行跳转(URL变化)--->丢到sqlmap测试 |
Sqlmap |
观测URL变化 |
|
弱口令+越权 |
1、云平台--->弱口令进入(无验证码的)
2、越权修改他人密码(修改参数loginNaem) |
参数的修改 |
修改任何代表用户身份的参数 |
|
未授权访问 |
考试系统登陆界面--->看js--->找到后台目录(接口是重置密码的)--->(忘记密码--->找回密码方式--->重置密码) 重置密码界面--->重置了admin账号 |
分析js文件 |
寻找敏感目录 |
|
未授权+弱口令+getshell |
1、目录扫描--->找到了未授权页面--->页面包含所有用户的id值--->反手弱口令爆破
2、上传文件--->存在白名单+重命名--->文件名截断(针对白名单)+目录的遍历(针对的文件重命名)--->getshell |
文件名截断、目录遍历 |
- |
|
登陆框注入+getshell |
1、找.aspx后台--->存在万能密码(也就是存在注入)--->批量搜索同类型站点
2、上传文件--->存在白名单+重命名--->文件名截断(针对白名单)+目录的遍历(针对的文件重命名)--->getshell |
- |
- |
|
登陆票据 |
1、找回密码处--->返回数据包中有找回是否存在提醒
2、使用已有账号测试密码重置流程--->密码重置处--->重置某人密码,会带上该人的Access-Reset-Ticket(登陆票据,拥有登陆票据就可以证明自己成功登陆过)----重置密码修改了管理员密码 |
参数的不严谨 |
- |
|
验证码+隐藏参数+未授权 |
1、验证码一个请求包xxx_code--->赋值给第二个请求包的yyy_code--->验证码发送成功(每次把xxx_code--->yyy_code)--->验证码轰炸(企业src)
2、个人中心修改数据的地方--->邮箱(等参数)是不能修改--->抓住请求修改的数据包--->看见有邮箱等参数--->将数据包进行修改
3、未授权页面测试---->可以是dirsearch.py脚本跑(发现更多的目录) |
观察每个参数在每一步数据包中是否有传递 |
|
|
绑定+验证码劫持+报错(敏感信息泄露) |
1、扫码--->需要输入工号进行绑定(且这个地方没有任何验证)--->查看姓名、手机号、单位等(非敏感信息)
2、验证码登陆--->可以验证码劫持--->将请求包里面的手机号改为自己的--->发现收到验证码且可以登陆
3、发现前台的记录发布时间---->发布内容的时候修改时间点---->报错(爆出敏感数据) |
任何值都有可能报错 |
- |
|
自动填充(敏感信息) |
1、登陆进入后修改密码--->自动填充学号、原密码等信息--->修改自动填充的学号--->实现了任意密码越权修改 |
观察数据包 |
- |
|
流程问题 |
1、登陆界面输入学号、验证码--->再点击找回密码--->跳转到safe/sendphone1.jsp(发送短信验证码)--->但是这个页面的右上角显示是已经登陆成功状态---点击可以查看当前账号的敏感信息(通过这个界面还可以重置手机号+密保)
2、登陆成功以后--->访问/safe/user/log.jsp--->查看到用户的登陆ip、时间等 |
意向不到的流程 |
- |
|
信息泄露 |
使用灯塔对edusrc进行信息收集 语法:host=”edu.cn” && country =”CN” (不知是否还可以对edusrc收集) |
灯塔 |
- |
2023-05-07
2023-05-06
2023-05-05
2023-04-27
2023-04-24
2023-04-22
2023-04-21
2023-04-20
2023-04-19
2023-04-18
2023-04-15
2023-04-13
原文始发于微信公众号(攻防武器实验室):【edusrc案例-姿势总结(二)】幼儿园-漏洞挖掘链-姿势探寻
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论