参加了2023年ASRC举办的白帽大会,期间在安排的房间遇到了Drea1v1师傅。初次相识,相谈甚欢。
当询问我是否参加第二晚的live hacking活动时,答道那是当然,虽然我并没有做任何准备,但我想去长长见识。
晚餐后,我们坐在书桌旁,Drea1v1师傅打开电脑,带我浏览起活动规则:https://security.alibaba.com/online/detail?id=152。
期间,我们共同探讨了live hacking的范围和规则,以便有所准备。
相较日常去平台交洞,参与此次活动有三点额外的福利:
-
现场审核,有问题可以直接对线battle
-
有额外的奖金
-
有荣誉称号
但是,需要拿到这些福利,需要做到:
-
能挖出高危严重的漏洞
-
提交速度够快,因为奖励会按照提交顺序递减
-
贡献值高
首要问题,就是手里得要有高危严重的漏洞,接下来就是拼手速的事情。
Drea1v1师傅分析了哪些目标挖的人少,这样投入产出比高,能快速出洞。
分析的很好,我却选择了躺在床上玩手机,想着到现场了再佛系挖洞,一切随缘。
但,没多久Drea1v1让我过去看一个有趣的东西,怀疑存在SQL注入,要我一起参与分析。
确实,有趣的在, 加入永真的语句后,回显的数据量存在差异,但要证明并利用这个SQL注入,还有很长的一段路。
我们的行动路线如下:
-
确认是真实的注入点
-
分析可能的后端SQL语法,并实施构造
-
创造回显差异,由于WAF的存在,基于数据量的差异始终无法实现,基于时延无法实现,最终发现可以通过mysql的特性实现报错差异,绕过WAF花了接近4个小时
-
在一起努力之下,在一度要放弃的情况下,在凌晨三点时,成功注出一个字节的数据,nice
至此,我们确信挖到一枚SQL注入,并且通过指纹特征在fofa查询,判断是通用性的问题,因此拿到高危甚至严重不成问题。接下来做的,只是需要拼手速,即可拿到额外奖金。
第二天,一大早便起床,因为还不想止步于此,想要获得荣誉称号,那么就需要贡献值够高,一个漏洞显然不够。
由于昨晚的成功,让人很受鼓舞,看来事情没有想象中的困难,或者说我们挖掘的目标可能会是一个软柿子,管他呢,干就完了。
带着清晨的疲惫,安装上APP程序,抓包,在购买服务的地方,改包,将200元改成了0.1元,支付,WTF!成功!!!
![[AOH 23]记于阿里live hacking上收获10000赏金](http://cn-sec.com/wp-content/uploads/2023/05/9-1683181897.jpeg "[AOH 23]记于阿里live hacking上收获10000赏金")
为了确信漏洞的真实性,通过查看短信、来电提示等接收到了购买成功的提醒,在APP商品状态页面查看到购买成功,属于待使用状态,酷!
继续,没一会儿又发现一个任意用户注册漏洞,且注册他人手机号登录进去后,还有50元的迎新奖励,看起来可以薅羊毛赚钱,酷!
Drea1v1师傅那边也收获一枚未授权访问的漏洞。
到了中午 ,我们的成果如下:
-
XXX通用性SQL注入
-
0.01购买任意XXX服务
-
任意用户注册-每次注册获取50元奖励-刷钱
-
XXX未授权访问
上面,除了SQL注入花了较多时间,其他漏洞挖掘是很纯粹的基本功,没有任何难度或者技巧。
就如同找对了金矿,在正确的位置一锄头下去就收获了黄金。
于我而言,挖SRC很少投入连续的时间,一年挖掘的应用可能10来个,喜欢投入精力在自动化与工具建设上,即便如此,还是能捡到一两个高价值的漏洞,这就很舒服了。
用完午餐,参加完下午会议,等着晚上的活动开始, 憋着一股劲,期待能取得好的成绩。
![[AOH 23]记于阿里live hacking上收获10000赏金](http://cn-sec.com/wp-content/uploads/2023/05/9-1683181898.jpeg "[AOH 23]记于阿里live hacking上收获10000赏金")
活动开始前,我们早早入座,打开提交页面,就等着开始那一刻点击鼠标进行提交,纯纯的拼个手速。
很不幸,在活动现场出现了一些情况,因此活动的额外奖金和贡献值都没参与进去。
![[AOH 23]记于阿里live hacking上收获10000赏金](http://cn-sec.com/wp-content/uploads/2023/05/0-1683181899.jpeg "[AOH 23]记于阿里live hacking上收获10000赏金")
好在阿里SRC很给力,不亏是国内老牌应急响应中心,最后还是顺利的赢得一笔额外奖励,respect。
![[AOH 23]记于阿里live hacking上收获10000赏金](http://cn-sec.com/wp-content/uploads/2023/05/7-1683181900.jpeg "[AOH 23]记于阿里live hacking上收获10000赏金")
这也是此文现在才出来的原因,虽早早与Drea1v1师傅决定分享此次挖洞的经历,但一直在等事情尘埃落定。
最后,我想说的是,信任是一种很强大的力量,与Drea1v1初次见面,他就将疑似存在漏洞的地方告知给我,让我一起参与进来研究。
挖漏洞存在很强的信息差,存在漏洞的地方,你知道别人不知道就是可以赚得赏金,为了感激他的信任,也让我下定决心,必须拿下这枚漏洞,最终得偿所愿!
老爸曾说过'江湖一张纸,捅破不值一文钱',很多技术或信息差被点破了也就不值钱了。Drea1v1无私的分享于我,让我很受启发, 如Drea1v1所言,每个人的想法会有局限,分享问题一起研究是不错的主意。
因为成功的合作,我们受到激励,去挑战更高的目标,后续才能挖出一系列漏洞。这种合作与突破的精神,是我们最终赢得10000元奖励的关键。同时,也是我这些年从事网络安全行业以来,真正感受到存在更高层次的意义所在,即脱离金钱与物质的技术的纯粹,我们互相激励,不断学习成长。这次经历让我深刻体会,谨记于此。
原文始发于微信公众号(Art Of Hunting):[AOH 23]记于阿里live hacking上收获10000赏金
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论