0x01 前言
我们知道Fuzz Testing (模糊测试)是一种测试方法,而对于目录Fuzz而言,取得的成效跟字典有着密切关系,下面我将记录一次自己的Fuzz思路从而接管28台云服务器包括支付集群并取得万元赏金的过程。
0x02 漏洞背景
一次众测项目,厂商提供了一批域名,我们针对一个域名进行测试,称此域名为http://www.target.com/wq1/login.html。
0x03 漏洞挖掘过程
1、观察此域名,着重观察wq1,其实也没啥好观察的,前面俩个小写字母,外加一个阿拉伯数字。构造三位参数的字典,每一位都从0-9以及26位字母中选取,保存为1.txt。
使用dirsearch对域名进行探测,命令为
python dirsearch.py -u http://www.target.com -w 1.txt
我们从中得到如下信息。
301 - 232B - /ax1 -> http://www.target.com/ax1/
访问http://www.target.com/ax1/,返回404页面,继续使用dirsearch对http://www.target.com/ax1/进行目录探测,发现http://www.target.com/ax1/druid/login.html返回200状态码。
2、访问
http://www.target.com/ax1/druid/login.html,发现常用的admin/admin,admin/123456,druid/druid,druid/123456等无法登录,由于druid登录界面一般都无验证码以及错误次数限制,我们构造字典使用burp对其进行暴力破解,模式为Battering ram,成功爆破出账号密码,为adminstrator/adminstrator。
3、进入到druid页面,我们关注druid/weburi.html页面,里面有网站访问url的记录,我们使用正则表达式将其提取出来。提取的时候,我们从druid/weburi.json中进行提取,原因有俩点:
(1)druid/weburi.html中长度过长的目录显示不全,超长的部分会用省略号代替,提取后会不完整。
(2)druid/weburi.html中目录过多时,网页不一定能及时刷新出来。
5、将提取的目录做成字典,对其进行爆破,发现一个json目录返回了200其返回字段中带有acesskey字段。
6、打开行云管家,将其导入其中,可接管共28台云服务器以及支付集群,至此,已将漏洞报告提交给厂商。
0x04 厂商反馈
这个漏洞获得了9000的赏金。
福利视频
笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品
https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374
技术交流
技术交流请加笔者微信:richardo1o1 (暗号:growing)
原文始发于微信公众号(迪哥讲事):利用特殊的Fuzz实现接管服务器过程
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论