公众号被留言催更了,不觉间距离上次发文已经过去近三个月了,一转眼23年马上结束了,得一小空,放飞自我,随便写点,无任何逻辑,简单给23年收个尾吧。
0x00 "老生常(非要)谈"的登录口话题
1、是否可以尝试去github上找找万能验证码呢?
配合常见测试手机号试试?
2、多端组合?(web、小程序、公众号、app)
小程序端越权漏洞批量获取企业用户名信息
根据姓名制作用户名字典,这里强推
https://github.com/abc123info/UserNameDictTools
web端暴破,密码错误五次后锁定?,那就四个密码撞吧
3、可曾听闻空口令?
没看错,就是输对了账号就能进
4、api接口、js文件、html源码、注释内容等等泄露账号密码,诸如此类暴力破解等就不提了,单纯就是因为写到这就感觉有点累了,大脑高速运转案例太多了,不知道写啥了,直接换下一个话题吧
0x01 登录后与WAF的斗智斗勇
1、逃不过,终要面对
之前sql注入文章里提到的一个洞,经历了一波修复后,又干进去了,结果就是费了九牛二虎之力把系统干进SRC收取资产范围之外了🤣,又跑题了,回来继续
运算符处这个payload之前可以逃逸waf的检测,修复后,继续摸索,输入like %admin%后服务端返回未知错误
巧的是后台系统提供了系统异常日志,这不是方便了些许
常规手法干进去
2、逃的过,假装不存在
注入、XSS都被waf干了,那咱不挖了,越权、未授权你还干吗?
token验证?null一下呢?
权限不够,那就自己给自己加吧
自己没法加呢,那就猜一猜,试一试,假装自己是个管理员,该如何去管理用户呢?会通过什么样的接口呢?
简单改一改呢?
0x02 技穷了
这就一个小时过去了?溜了溜了,最后提前祝师傅们元旦快乐,龙年洞洞高危!!!
原文始发于微信公众号(安全艺术):浅聊2023年SRC碰到的那些洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论