漏洞一:万能的并发
来到页面先思考,能挖啥,准备挖啥,功能是啥!我们可以看到这个页面就是一个很简单的静态页面,有一个分享、一个打印、一个喜欢的功能。
我们测试喜欢功能,我们点击喜欢并抓包。
并发的方式有很多,可以用插件Turbo Intruder,可以用新版burp的repeater工作组功能,还能用burp的intruder功能,当然还能用国产的yakit。
来到intruder随便添加一个位置,选择number的数量和线程并发包
查看爱心就变多了,漏洞也就来了。(思考并发的其他功能点)
漏洞二:邮箱轰炸
这个漏洞也是我们非常简单就能挖掘的。来到忘记密码处输入邮箱
将发送短信的接口发送到intruder,设置变量,设置字典,发送攻击。
可以发现短信从2条瞬间变成了13条(思考除了轰炸我们还能挖什么)
漏洞三:封面越权删除
这个漏洞也是赏金最多的,也是非常简单的一个越权漏洞。这个漏洞是一个封面的功能,每个用户可以上传封面、删除封面。
其他用户的封面图片
我们点击用户配置中的活动配置,来到图形和视频功能。
对我们已经上传的封面进行删除并抓包接口
发现了图像的ID,我们替换为其他用户上传封面的ID并发包。
成功删除了adragos_用户的封面(思考,在这种图像id中我们除了测试删除还能有什么除开增删改查以外的操作呢?)
漏洞四:SSRF(GIF)
首先我们打开我们测试的目标,来到会话聊天界面。
在burp中复制测试SSRF的URL
使用其他用户给好友用户发送图片并抓包
发现发送的时候会有一个图像的url,我们替换为ssrf的地址
然后当其他用户去打开你们之间的会话就会触发SSRF
漏洞五:云存储的目录遍历
这个是属于云漏洞中的一种,也是由于开发人员的配置不当导致的。为什么我把他放到最后一个,因为现在很多系统都是云上的,我们也要慢慢学会去研究云上的漏洞。这里推荐小迪师傅的2023有一部份是讲云安全,还有GitHub有一些云安全的博客,还有一个叫云上安全的课程。
回归正题,这次的漏洞就是由于配置不当导致,我们举例阿里云。
在创建 Bucket 时,可以选择是否公开,默认是 private 的权限,如果在错误的配置下,给了 Listobject 权限,就会导致可遍历存储桶。
如果选择公有读的话,会出现两种情况:
- 如果配置公共读的情况,就不能列入对象,但是可以直接查看对应文件
- 如果想列出 Object 对象,需要在 Bucket 授权策略中设置 ListObject 即可
漏洞原理我们大概知道了,所以国外的赏金猎人找到以后卡卡就是美刀,就下面一张图
原文始发于微信公众号(炮炮安全):赏金猎人学习纪录3
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论