利用特殊的Fuzz实现接管服务器过程

admin 2024年11月6日23:08:05评论11 views字数 1298阅读4分19秒阅读模式

0x01 前言

      我们知道Fuzz Testing (模糊测试)是一种测试方法,而对于目录Fuzz而言,取得的成效跟字典有着密切关系,下面我将记录一次自己的Fuzz思路从而接管28台云服务器包括支付集群并取得万元赏金的过程。

0x02 漏洞背景

      一次众测项目,厂商提供了一批域名,我们针对一个域名进行测试,称此域名为http://www.target.com/wq1/login.html。

0x03 漏洞挖掘过程

1、观察此域名,着重观察wq1,其实也没啥好观察的,前面俩个小写字母,外加一个阿拉伯数字。构造三位参数的字典,每一位都从0-9以及26位字母中选取,保存为1.txt。

使用dirsearch对域名进行探测,命令为

python dirsearch.py -u http://www.target.com -w 1.txt

我们从中得到如下信息。

301 -  232B  - /ax1  ->  http://www.target.com/ax1/

访问http://www.target.com/ax1/,返回404页面,继续使用dirsearch对http://www.target.com/ax1/进行目录探测,发现http://www.target.com/ax1/druid/login.html返回200状态码。

2、访问

http://www.target.com/ax1/druid/login.html,发现常用的admin/admin,admin/123456,druid/druid,druid/123456等无法登录,由于druid登录界面一般都无验证码以及错误次数限制,我们构造字典使用burp对其进行暴力破解,模式为Battering ram,成功爆破出账号密码,为adminstrator/adminstrator。

3、进入到druid页面,我们关注druid/weburi.html页面,里面有网站访问url的记录,我们使用正则表达式将其提取出来。提取的时候,我们从druid/weburi.json中进行提取,原因有俩点:

(1)druid/weburi.html中长度过长的目录显示不全,超长的部分会用省略号代替,提取后会不完整。

(2)druid/weburi.html中目录过多时,网页不一定能及时刷新出来。

5、将提取的目录做成字典,对其进行爆破,发现一个json目录返回了200其返回字段中带有acesskey字段。

利用特殊的Fuzz实现接管服务器过程

6、打开行云管家,将其导入其中,可接管共28台云服务器以及支付集群,至此,已将漏洞报告提交给厂商。

利用特殊的Fuzz实现接管服务器过程

0x04 厂商反馈

这个漏洞获得了9000的赏金。

利用特殊的Fuzz实现接管服务器过程

福利视频

笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品

https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374

技术交流

技术交流请加笔者微信:richardo1o1 (暗号:growing)

原文始发于微信公众号(迪哥讲事):利用特殊的Fuzz实现接管服务器过程

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月6日23:08:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用特殊的Fuzz实现接管服务器过程https://cn-sec.com/archives/1817795.html

发表评论

匿名网友 填写信息