记一次失败的踩点历程

声明：本文章仅适用于信息安全防御技术，仅做技术交流、分享。因个人用于其他用途所产生不当后果，作者本人不承当任何法律责任，请严格遵循中华人民共和国相关法律法规，遵守从业规范。

前言：一天 夜里2点 天刚蒙蒙亮

----2023.3.22----

事起之因源于2023.3.22 本来准备睡觉，无意间翻到了某站前端js代码，如图

某站前端js代码赫然醒目 Oss Ak、Sk。这周没水到什么垃圾洞好巧不巧就碰到了此站 看着开发留下的xxxxxxxx，心想：若是担心oss被接管直接不展示不就好了，何必再羞辱一次我这样的菜鸡呢？

做梦都是ak、sk...

---2023.3.23---

一早，内心还是不服，赶着此路不通就换路的原则(其实太菜挖不到被迫找旁站)，找到了某站资产

熟悉的icon回来了，这不是踩点摸过的通用吗，之前有摸过此通用系某教务统一系统 遗憾的是只摸到了默认密码规则 这次我一定好好摸！

真是妙蛙种子进了米奇妙妙屋 妙不可言 妙到家了，喜提账号封禁一次

一个超管账号怎么就那么难摸

不慌，反手看一手之前踩点报告，除了超管弱口令，没了..

目标站点不通，暂时没思路 继续找通用功能点

果然，一处任意用户密码重置就浮现在眼前

commandType=yh_mmcz&cssl=1&cslist=6a0b76a6104e708dd49593524c64e9ec53b491f50ad52682054f75f5d117c9ae&token=9251bfe42bfb587ed09115b7496819a811d227eeb062c05ae0b58ec2c18b73c1&zfj=%25E4%25B8%25AD&time=12332423419

commandType：盲猜执行命令类型

yh_mmcz：用户_密码重置

cssl：盲猜也猜不出来

cslist：盲猜caslist 统一用户列表

token：书面意思token

zfj：两次url编码：中

time：时间戳

不会挖洞没关系，主打的就是猜 这区区几个参数顶不住我猜啊

整理后的表单：

commandType=yh_mmcz&cslist=6a0b76a6104e708dd49593524c64e9ec53b491f50ad52682054f75f5d117c9ae

经过一番调试，提交表单就清晰了

必要参数：commandType、cslist、ck

表单token无视，ck不鉴权  必然存在任意用户密码重置，验证后确实存在！

那么问题来了，重置账号为：cszh005

表单提交参数中：commandType：执行重置命令  这个不涉及用户id

显然：cslist-->关联账号-->cszh005

看不懂的字符串，肯定被加密处理了，被加密了怎么办？这个问题问的好，我先睡一觉

---2023.3.24---

古有罗盘风水，今有赛博挖洞

直接口算key、iv

原来以为到这里一切都应该结束了

看着登录框，熟悉又陌生 熟悉的是密码规则，加密参数都搞定了，陌生的是 怎么搞个账号？

怎么搞个账号？怎么搞个账号？怎么搞个账号？

啊？？？

不慌，随便想几个账号

开始不对劲了，主打的就是一波三折反转 山路十八弯

还是睡觉吧..

---2023.3.25---

偶然翻到另外一处资产，真是谨慎，一点利用信息真就不给？全部打码？

咱就是说不能无功而返

一处泄露平台用户姓名：谢**    随便算一个谢** 账号

真的6.。。。。。

峰回路转，一个不通再换一个，随便想一个账号

有戏！！！

今天运气不好不宜挖洞，还是继续睡觉吧....

---2023.3.25---

故事写到这里，还未认识到问题的严重性，只是觉得有些许蹊跷，正所谓条条大路通罗马，一条不通可换一条路，可五条路都不通你我又该是如何？

到这里也许已经是彻底结束了，可怕的并不是做错，而是无论怎么做结果都是错。从刚开始的信心陡增到最后长达一周拉锯战结束仍然一无所获。

就好比故事开场你就找到了某站漏洞，通过其他资产侧方印证了事实，但这所有的一切都无答案，便也是求不得。方同武林高手对弈，你使出毕生所学 招式尽出乍看犹如银河倒挂般绚烂，可终究是昙花一现上不了台面。

某站教务踩点思路：【例】

账号：12345678

密码：aaa345678

这里可以先将aaa看为密码前置，这里思路还一直在这里绕弯...

现例：

账号：12345678

密码：aaa345678bbb

这里密码规则可以理解：前置(aaa)+后6+后置(bbb)，无论怎么尝试，最后的结果定是失败而终，亦是无功而返。

此刻你用这通用资产在某站屡试不爽，可偏偏在此翻了船，以上所有的路都来源于某站账号密码，于是你招式尽出

到这里此时心态就有点不对劲了，内心os：找个账号就这么难？？？

不过以上某同学的防范措施很正确，不要将账号密码等隐私随意告诉别人，(如果他能告诉我就好了，某站就穿了)

可惜。。。

---2023.3.25---

一次失败的踩点历程，各位师傅以笑话看之就好，如有下文再更

原文始发于微信公众号（Tokaye安全）：记一次失败的踩点历程