|
|
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
前言
这是一个完全的黑盒测试,客户没有提供任何信息,我们唯一知道的是,我们被允许测试 redacted.com 和子域名 my.redacted.com
我将跳过整个被动信息收集过程,直奔主题。
正文
因此,我开始使用 gobuster 进行目录爆破,很快就看到一个返回 403 - 禁止访问响应的管理面板。
看到这一点,我们访问了该网站以验证它确实是 403 ,并使用 Burp Suite 捕获请求以进行潜在的绕过。
在我看来,我认为不可能绕过这一点,因为内部IP地址有一个ACL。尽管如此,我还是尝试了以下方法来绕过403:
-
HTTP方法模糊测试(GET,POST,TRACE,HEAD等)
-
HTTP头部模糊测试(X-Originating-IP:127.0.0.1, X-Forwarded-For:127.0.0.1等) -
路径模糊测试/强制浏览(https://redacted.com/admin/index.html, https://redacted.com/admin/./index.html等) -
协议版本更改 (从HTTP 1.2降级到HTTP 1.1等) -
字符串终止符 (%00, 0x00, //, ;, %, !, ?, []等) - 将其添加到路径的末尾和路径内部
长话短说,这些方法都没有奏效。所以,我记得有时安全控制是围绕请求中组件的字面拼写和大小写构建的。因此,我尝试了 "大小写转换" 技术——可能听起来很愚蠢,但它确实有效!
测试结果:
-
https://redacted.com/admin -> 403 禁止 -
https://redacted.com/Admin -> 200 OK -
https://redacted.com/aDmin-> 200 OK
将任何字母切换为大写字母,将绕过限制。瞧!我们得到一个登录页面到管理面板。
我们很幸运,但是,我们现在能够尝试不同的攻击(密码喷涂,暴力破解等)。我们正在测试的公司规模不小,我们已经从泄露的数据库中收集了相当多的员工凭据(泄漏检查、泄漏窥视等)。
但是,这是管理面板,因此我们使用通常的测试:
-
查看是否存在用户名枚举 -
查看是否有任何登录限制 -
检查可能的 WAF 会因请求数量而阻止我们
简而言之,这两个都没有。我们无法枚举用户名,但是没有任何类型的速率限制。考虑到上述情况,我们加载rockyou.txt并开始暴力破解“admin”帐户的密码。
经过几千次尝试,我们看到以下内容:
我们找到了admin帐户的有效凭据。进入到网站的管理面板,进行身份验证,然后就登录进来了!
我们进入了管理面板,现在需要做或可以做的不多(未经客户同意)。具有管理权限的管理面板允许您更改整个网站配置,控制网站的页面,真正控制一切。因此,我决定编写一个Python脚本,该脚本可以抓取整个用户数据库(大约39300条),其中包含他们的姓名,电子邮件,电话和地址。收集所有这些详细信息的想法是将它们呈现给客户(受害者) - 以展示被攻击漏洞的严重性。
此外,由于这些安全漏洞的严重性,我们在同一天为这些特定问题编写了一份报告,这些问题会在24小时内得到修复。
总的来说,在整个利用过程中并没有什么太难的地方,但是不寻常的 403 绕过是我第一次见到的东西,我认为你们中的一些人可能会利用它或将其添加到未来的 403 绕过清单中。
原文始发于微信公众号(潇湘信安):异常的403绕过接管整个网站
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论