某ZF单位授权测试(细节版)

本人原创文章，想搬运的都可以,不用我授权

另外本次安全圈事件，我已跟月神说了，以后我也会注意这点，事情也过去了就这样吧!

"白虎实验室"以后更名为"WEB安全研究员"

前段时间收到一个渗透测试的项目(授权测试)，是一个ZF单位的目标。

访问过后是一个登录点，看到这脑壳第一反应就是sql注入，万能密码，弱口令，暴力破解，未授权访问，等等漏洞啥的。

然后我挨个去进行尝试，都未发现问题。节奏就被卡住了

我通过burp抓包发现，username和password都进行加密了。所以sql注入啥的怕是GG了。

但是页面当中我发现有一个QQ群，就想着尝试一下，看能不能加入进去，结果没想到突然就进群成功了(一般来说，需要群主和管理员同意后才可以进入)。

进群过后，就看到一个群公告

说的是账号和密码是一个18位的，吓到我了(这破解难度有点大)

心想，这怕不是要凉在这里

然后我就去看了一下前端代码，突然发现了一个视频教程.zip的文件

然后将其进行拼接路径，进行下载下来看看，是一个啥

打开一看，视频里面包含了大量的敏感信息，其中刚好就有我们需要的账号和密码

然后我就利用视频里面的账号和密码去尝试登录

结果一不小心就进后台了(运气好)

进入后台，看了一些功能点，没有发现上传功能，XSS也没有，任意修改密码也没有，在最后的时候发现一处越权漏洞。

收工

原文始发于微信公众号（白虎实验室）：某ZF单位授权测试(细节版)