起因
最近一段时间在学校染上了甲流,痛苦了几天,刚痊愈,学长就给我发来了消息。
既然如此,那就权当甲流后的康复练习了。
碰壁的初步测试
点进去,是一个非常经典的钓鱼站
首先还是常规的去打一波,超级ping去看ip,然后扫一波全端口,什么收获都无。然后是目录扫描,看看能不能出管理后台,结果也是什么都无(后面才发现,他这个后端管理是分离了,在钓鱼网站里都算是比较猛的了)
那只能看看这个前端的问题了。首先得注册一个账号不是
看到这首先就要反应过来了,首先这是一个钓鱼诈骗站,不然也不可能要你填这么多信息,那目标肯定有个接收消息的box能够看到这些信息,我们填入的信息有机会回显在后端,那就有可能去打XSS。
但是很不幸的是,这里有长度限制,只有邮箱地址这里可以插
那没办法了,只能先简单注册一个账号看看
注册之后说实话根本没啥东西可以看的,挂着xray看了半天,本来寄希望于找一些注入啥的,因为看它这后台功能点好像挺多
但实际上大部分功能点都是没用的,只是写了一些前端效果,设计出来只是为了让你产生一种“这网站貌似挺正规”的错觉。唯一有用的就是这么个身份证上传点
但是这个点,不仅是白名单,而且他会给你上传的东西强制改为png后缀的
(比如下图,你就算不写后缀,也会给你改成png后缀)
试了试也没有解析漏洞,所以确实没啥办法了。这时候突然又想到,刚刚那个注册用户的功能点,它的长度限制会不会只是前端的。如果我们顺着开发者的这个思维惯性往下想,它认为前端限制了长度,那么后端接收到的数据就大概率是安全的,就不会写额外的过滤,那么这里就更有可能存在XSS等问题。
所有后端可能看到的点都插上XSS Payload,发现还是成功注册。接下来只需要静候佳音。
突破
打完上面的操作之后我就去睡觉了,第二天中午一上号,发现惊喜来了
到这里马上能反应过来,这个钓鱼网站的后台部署在别的网站上,所以我们前面没啥收获也正常。现在拿到这个新域名,还有管理员cookie,那就又可以慢慢玩了。这里可以看到几个触发点
用户名、联系qq、邮箱这些地方都是XSS的触发点。
我们对该网站进行目录扫描,很快发现了一个有趣的东西
Fckeditor,或许有戏(后续证明并没有)
继续看,还发现一些不得了的东西
通过这里我们可以跳转到很多功能点
(在这里我还试过一种比较古老的手法,就是在早年asp网站中很常见的配置项插webshell,但也无果)
甚至还有美洽客服key捏。不过还是来研究一下怎么getshell罢。看fckeditor的js文件可以看到它是2.3.1版本的
试了很多方法,但是都没法getshell,太恶心了,主要是这个Fckeditor的功能点给阉割太多了,而且还给魔改过,网上所有的点都用不了。后台也没注入之类的漏洞,其实到现在的话还有一种破局方法,就是在后台水坑钓鱼看看能不能上钩,不过flash钓鱼之类的东西一时半会也比较难做好(还得考虑免杀之类的问题,我没怎么研究过免杀的技术栈,要搞好只能找别的学长帮忙),因此打到这就把证据全盘交给学长让他帮忙提交给晶哥了。
遗憾退场
最后还是差了一点,也可能是甲流发烧把脑子烧坏了,思维不是很清晰了,打到这里就让学长找晶哥去了。
在这里给各位师傅再提供一下这种钓鱼站点的样式:
注册这里基本都可以插XSS Payload打管理员Cookie(虽然大部分师傅肯定一眼就能看出这些点)
推荐阅读
原文始发于微信公众号(HACK学习君):记一次对钓鱼诈骗网站的测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论