EduSRC漏洞挖掘思路技巧(细)

admin
admin
admin
102367
文章
87
评论
2024年3月4日22:04:15评论42 views字数 1993阅读6分38秒阅读模式

0x01 逻辑漏洞
挖掘逻辑漏洞,首先要明白一般可能存在逻辑漏洞的功能点 如:密码重置 登录绕过 越权操纵 伪跳转 当然,细致的Fofa搜索语句也是必须的,一般可注册的地方有可能存在逻辑漏洞.

title="XX大学" && body="忘记密码" && body="注册"title="XX大学" && body="登录" && body="找回"

EduSRC漏洞挖掘思路技巧(细)

同时还得需要有足够的耐心,看完每一个可疑的参数,查看是否有可利用的契机,同时还需要查看Js接口,看看有无可操控api参数.

EduSRC漏洞挖掘思路技巧(细)

每一个接口都去Fuzz 这是某js里的接口,可直接越权查看信息

EduSRC漏洞挖掘思路技巧(细)

EduSRC漏洞挖掘思路技巧(细)

然后通过泄露的用户名看看是否能登录同服务器上搭载的各系统,有时候漏洞的发现就在于细心. 比如下方的js前端鉴权,开发者写的还是比较粗糙,再对比上下文,一般都能发现漏洞.

EduSRC漏洞挖掘思路技巧(细)

0x02 传统漏洞

说到传统漏洞,基本都是各种任意文件读取,上传,写入等操作,可以用网上已经公开的nday,或者自己通过已知漏洞去二次审计系统看看能不能出货。不过这种方式容易重复....

EduSRC漏洞挖掘思路技巧(细)

像这种漏洞,你得比别人手速快,写脚本工具的速度也得快,漏洞刚出时就得去关注信息,然后通过公开POC编写脚本.通过这种方式挖洞,重复是常态.

EduSRC漏洞挖掘思路技巧(细)

而关注较新的漏洞资讯,可以去一些公众号集成平台,网络安全论坛,小众圈子里查看,我这里列举一些.

洞见微信聚合 http://wechat.doonsec.com/T00ls https://www.t00ls.net/Watchtowr https://labs.watchtowr.com/奇安信攻防社区 https://forum.butian.net/先知社区 https://xz.aliyun.com/SecQuan https://secquan.org/Hacking8信息流 https://i.hacking8.com/iotsec-Zone https://www.iotsec-zone.com/peiqi文库 https://peiqi.wgpsec.org/wy876Poc库 https://github.com/wy876/POCcnvd https://www.cnvd.org.cn/CVESearch https://cve.mitre.org/cgi-bin/cvekey.cgi跳跳糖 https://tttang.com/

0x03 审计出洞
这是我最推崇的一种挖洞方式,first 需要确定你要审计的目标系统指纹,然后通过Fofa搜索同源站,然后批量扫描备份,查看是否有泄露代码,亦或者查看同源站服务器各端口下的服务是否存在漏洞。

EduSRC漏洞挖掘思路技巧(细)

给大家看看之前的一个案例 通过扫描备份,拿到源码,得知是YII框架,遂审计控制器开发者自写控制器.

class DemoController extends ActiveController{    public $modelClass = 'centermodelsDemo';

    public function actionTest(){        return 'Hello World!';    }

    // php代理 实现get post请求    public function actionxxxxx(){        $rs = [];        if(Yii::$app->request->isPost){            $url = Yii::$app->request->post('url');            $post_data = Yii::$app->request->post();

            $rs = $this->post($url,$post_data);        }elseif (Yii::$app->request->isGet){            $url = Yii::$app->request->get('url');

            $rs = $this->get($url);        }

        return $rs;    }    // get    private function get($url){        //初始化        $ch = curl_init();

        //设置选项,包括URL        curl_setopt($ch, CURLOPT_URL, $url);        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);        curl_setopt($ch, CURLOPT_HEADER, 0);

        //执行并获取HTML文档内容        $output = curl_exec($ch);

        //释放curl句柄        curl_close($ch);

        return $output;    }

可以看到某Action可调用get方法请求内容,并且有回显,很典型的SSRF. 之后测试发现支持file dict gopher协议.

EduSRC漏洞挖掘思路技巧(细)

总之可操作空间非常之大,利用dict,gopher去打带密码的Redis都可组合拳拿到Shell,漏洞的利用程度在于你自己能想到的高度.

gopher协议打redis获取apiKey:

EduSRC漏洞挖掘思路技巧(细)

前台未授权信息泄露:

EduSRC漏洞挖掘思路技巧(细)

小刷了一点点分.

EduSRC漏洞挖掘思路技巧(细)

原文始发于微信公众号(星悦安全):EduSRC漏洞挖掘思路技巧(细)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月4日22:04:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   EduSRC漏洞挖掘思路技巧(细)http://cn-sec.com/archives/2546080.html

发表评论

匿名网友 填写信息