文章来自" bgbing安全",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)
本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!
首先先感谢bro师傅的持续投稿,另外有兴趣投稿的师傅也可以联系我,微信号:bgbing-src 会给合适的稿费,还会额外送礼品(比如现在端午,会送端午礼盒,粽子等)
【引言】
感觉这儿有洞但就是挖不到?那么,请看我操作!(doge)
【线索都断了怎么办】
学习使人进步,但每个课程只能看第一节,后续需登录使用
那注册个号再登嘛,可是没得注册...
没办法了,看看网站是如何调取播放地址的吧
如上图所示,显然vid是关键,可这看着也没啥规律啊,不过它也出现在了源码中。我的想法是查看当前源码(即第一节无需登录的章节页)并提取vid附近的关键字,再去需要登录使用的章节搜一下,看看它们的vid是不是暴露在源码里。这里的关键字,我以var video为例
可惜的是,除第一节外,其它章节的vid我是咋个也找不着哦
好吧,线索到这儿就断了。Plan B就是FUZZ,至于为啥想到,是因为常规调取视频的地址一般位于云服务器中,那条url又是sign又是secret的,看着就麻。但这里调取视频的地址仍然位于当前域名下,直觉让我FUZZ一手。老样子,看看第一节视频的url
马的是数字+密文,没啥用,师傅们先记住这条url的特征,这是此次FUZZ的灵感根源
可问题又来了,按理说上面马住的数字+密文才应该是FUZZ的关键(比如尝试通过遍历获取其它章节视频),但我的目的是想看啥就看啥,即指哪儿打哪儿。具体操作如下,一般网站会把图片与视频放在一块,只是目录不同,那找一下第一节课的展示图片地址和它对应的视频地址有啥区别呗
唯二的区别就是trans后的目录以及后缀。距离成功又近一步,那我想获取其它章节视频的话,只需要先获取它的展示图片地址,再改改那唯二的区别是不是就成了?试试吧
第一步,获取其它章节的展示图片地址
第二步,将原先trans后的图片目录改为视频目录,再将图片后缀改为视频后缀
拿下
因为这是个教学资源站嘛,同样的姿势可在无账号的情况下获取全站资源。遗憾的是没得付费资源
【存在越权但用户标识难以遍历】
问题功能点位于个人中心的修改资料处,可以越权篡改用户姓名等关键信息,因为这里仅凭id鉴别用户,但这里每一位用户的id可不好遍历
所以说挖到鸡肋洞也挺麻的,那有没有办法提升危害,比如寻找网站有没有泄露其它用户id。这里正好有个企业公示(我自己注册的也是企业账号)
那就查看源码看看会不会存在用户标识
后面就是常规操作咯
端午活动:
加入星球,即可进内部群,内部群的师傅们大多都是经常挖补天、先知、各大SRC平台的,跟师傅们一起冲src,互相学习,交流技术。
火柴人安全团队招人,主要冲src
小小门槛:2022年提交过一个有效漏洞(企业src),并且审核通过,满足的话,加微信号:bgbing-src 给我简历即可
加入团队的好处:经常冲src,活跃度高的话,会送礼品,额外现金奖励,团建,线下面基这些,也会给团队直播挖src一些思路,互相交流技术,一起冲src,一起进步!
本文是bgbing安全内部bro师傅的投稿,bgbing安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
原文始发于微信公众号(bgbing安全):SRC挖掘思路(八)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论