打比赛刷分最快的办法就是,扫资产,应该是废话
指纹识别,Ehole(可能有点过时了)框架shiro,jeecg等等
其次就是用一些集成工具,比如灯塔,ScopeSentry,TscanPlus
拿到中间件就一把嗦,这次打内网,靠xxl-job,弱口令/权限绕过 拿到shell。但是不得不说,明明在屋里开着灯,n家队伍一起攻击,但外面的天真黑啊。
开局404,标准的spring报错页面。
去掉路径,是一个登录页面
扫目录,存在swagger-resources
有n个接口,于是提取n个接口的api。
用python写个脚本,小猫头疯狂check,放到burp跑接口
其中一个存在敏感信息
在接口里找呀找呀,发现了短信配置的key,小程序的key,以及支付宝,微信,支付相关的公钥私钥,涉及面窄,不知道怎么利用,有知道的师傅,可以评论区留言,让小弟学一学。
细看数据,在短信配置里,有阿里云key
OSS打开,发现是空的
于是利用cf工具,配置阿里云平台,创建一个账号
登录后,发现没有ecs,到此结束。
接下来看小程序
https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid= [] &secret= []
把相关的参数放到这里来,获取token后就可以对小程序做一些查询的操作
https://developers.weixin.qq.com/miniprogram/dev/OpenApiDoc/user-info/basic-info/getPluginOpenPId.html
原文始发于微信公众号(轩公子谈技术):某攻防演练|从404页面到接管阿里云
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论