我和女实习生那些不想说的故事

一、起因

又是某个天朗气清惠风和畅的日子，我四处观察了一下，没有人注意到我，于是我戴上了自己的AirPods Pro享受降噪模式下的音乐沉浸，正当我洋洋得意并且旁若无人开心的喝（hua）水的时候，突然感觉好像有个黑影投射在屏幕上。
我心里一慌，便故作镇定的切换到了 https://www.sec-in.com 开始沉思。
“啪！”别打我！别打我！我错了！我不该划水的！

原来领导只是拍了一下我的肩膀呀....
“在看文章呀，这个平台的文章写的都挺好的，不过现在有个系统需要你帮着看一下！”

“啊，看系统呀，好说好说，具体是什么情况呀！”经过一番简单的较量，不对，是交流，原来是新来的肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生给系统做测试的时候提的漏洞质量太差，领导希望我可以指导一下。
我拿过肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生的报告一看，密码明文传输、js版本号泄露、服务器版本号泄露、X-Frame-Options头缺失，咳咳，年轻人不讲武德！这些个漏洞能拿出手，本想让肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生耗子尾汁，又不忍心年轻人自甘堕落，于是我便拉过来肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生准备送他上路，不对，是给肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生科普知识之路。

二、正文

背景：

系统为客户内网，自己开发的系统，提供了管理员、普通用户权限各一个，由于客户内网需VPN。

目的：

浅尝辄止，尽可能多的寻找此系统漏洞。

根据此信息可以明显知道，这个系统难度应该不高。挂上VPN、开启代理、BP。
我们先从登陆处入手。

只有一个用户名和密码输入框，没有验证码，随便输入一串字符、密码,提示账户不存在。

此时我意识到，帮助肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生学习的契机已然来到，便转头看着身边的肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生，问道：“肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生，你觉得这个算漏洞吗？”“不算！”肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生一脸自信的说道。“这个算漏洞，下次报告记得写上！”我淡然道。“为什么？”肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生一脸疑惑。我默默摇了摇头，年轻人，好浮躁嘞！你看下去你就知道了。
ok，第一个漏洞有了，不安全的提示信息，根据此信息可爆破存在用户名。
此处还可尝试万能密码，列举几个如下:

amdin'or 1=1 --+
"or "a"="a
')or('a'='a
or 1=1--
'or 1=1--
a'or' 1=1--
"or 1=1--
'or'a'='a
"or"="a'='a
'or''='
'or'='or'
1 or '1'='1'=1
1 or '1'='1' or 1=1
'OR 1=1%00
"or 1=1%00
'xor

如果有验证码可尝试挖掘验证码重用、验证码绕过等漏洞。
接下来查看输入正确账号密码后BP的响应包

如上图，可以看到响应result的值为1。
接下来查看输入正确账号，错误密码后BP的响应包

如上图，可以看到响应result的值为0。
通过对比我们可以发现登陆成功和登陆失败的响应包主要不同处在于result的值，成功为1，失败为0.
所以我们可以推测，系统判断登陆成功的依据是以响应的返回结果result的值。
为了验证猜想，我们可以使用BP来进行响应内容的修改来进行验证，
这里随便抓了个qq的请求举例，

1.BP开启拦截请求，获取数据包后选择,拦截执行-此请求的响应

2.可以看到响应内容已被拦截，修改好内容后点击放包即可

按照上面方式，我们拦截输入错误密码的请求并将其响应result的值更改为1，成功绕过密码验证,登录进了系统，此漏洞利用的前提一般是需要获得已知用户名的。

我再次看向了肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生，问道：“学到了吗？”“哇，这个样子呀，原来响应包也可以改啊！”望着肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生一脸惊叹，虚心好学的表情，我默默的心里叹了口气。
内心独白：看来离让肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生给我干活我舒舒服服的指挥的好日子还有段距离呀。

于是我便对肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生说，在此你可以思考一下，发现第一个漏洞不安全的提示，可以根据提示信息响应等来爆破已知用户名，第二个漏洞，登录绕过，通过已知用户名修改响应登录系统，并获取对应用户的权限从而获取一个高的系统后台权限。是不是环环相扣呀，所以不要轻视每个小细节，明白吗？现在知道为什么不安全的提示也算漏洞了吗？
肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生听完后连忙哭泣点头称是。

然后进入系统后我们要有个整体的思路，之后按照思路一个点一个点去尝试。
整体思路：

进入系统之后依次查看功能点，对于所有的增删改查功能，我们都可以尝试注入、遍历、越权、未授权访问、XSS等漏洞，对于有上传点的可以尝试任意文件上传，对于文件下载处的可以尝试目录穿越、任意文件下载、未授权下载，对于执行命令处可尝试任意命令执行。

比如我们看到一个新建按钮

可以尝试下XSS的payload，肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生，“你信不信这种系统百分之99都存在存储型XSS？”“大哥！我不信”肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生你怕是飘了呀。看着!
因为前端不允许直接输入特殊字符，所以输入正常字符，之后抓包替换发送。

“大哥！大哥！你看响应，被转义了呢！”肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生一脸兴奋！

“大哥！大哥!你再看！没有触发！”肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生看起来异常的兴奋。

“我内心呵呵一笑，年轻人还是嫩呀！”
“肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生！你看着呀，注意看！”

“看到了吗？”
“啊，这...”“大...大哥...我...”

看到这个删除按钮没有啊，添加的时候不触发，可不代表删除的时候也不触发,学到了吗？要知道很多时候我们插入的payload不是直接触发的，还有很多需要找到触发点才可以，做事，一定要认真，懂吗？

看着肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生诚恳的认错，我终究是个善良的人呐，所以我选择原谅他了。
就这样我带着肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生收割了几处存储型XSS漏洞后，觉的教学效果还不够好，决定再来个越权啥的。

根据登录系统时直接响应绕过这个风险点推测，这个系统在登录认证、身份鉴别这块基本应该没有做划分，那么基本上有八成以上的几率系统是存在权限有关的漏洞。
由于事先已提供了管理员账号和普通用户，就先测试垂直越权。
具体步骤：

1.利用BP分别抓取管理员和普通用户cookie
2.找到一处管理员可操作的功能处，抓取该数据包，替换为普通用户cookie进行重放
3.查看响应确认功能是否可正常使用，若可使用，则证明存在垂直越权。

事实也显而易见，通过将管理cookie替换为普通用户cookie证明了存在垂直越权。
紧接着测试平行越权，利用管理员账号新建两个普通用户，利用BP获取其id，紧接着可点击用户属性，替换id查看响应是否为另外用户信息。

如上图，通过id即可遍历用户名称，证明存在平行越权。
随后通过进一步分析发现name字段为用户自定义昵称，系统并没有校验，删除该字段并不影响。

发现这种情况后我接着将cookie中的id值替换为其他数值，经过测试发现只要填写任意数值都可做有效身份使用。

随着时间的推移，我终于来到了一个特殊的地方，一处可以执行ping命令的地方。此处功能应该是用于探测添加的主机是否存活，站在开发的角度来考虑，直接调用系统的ping命令无疑是非常方便的，如果站在一个没有安全经验的开发的角度思考，无疑，我是不会过滤其他系统命令的！然而此刻的我是什么角色？一个经验丰富，作风果断的攻击者！呵呵呵~

在这一刻凭借着丰富的经验，我意识到，很可能是一处任意命令执行漏洞。

于是！
我根据命令行规则使用了|（管道符）！来让我我们拭目以待吧！
请原谅这无情的马赛克吧！你只需要知道，一个任意命令执行漏洞出现了...

看着我一顿操作的肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生简直惊呆了...

再结合之前的越权等问题，我突然又想到ping命令处为GET请求，并且身份鉴别如此不严格，会不会存在未授权，于是我打开另外一个全新的浏览器，将URL复制过去，果然，
一个无需登录的任意命令执行漏洞出现了。

三、尾结

到此系统也测得八九不离十了，按照测试过程来划分可以分为登录前，登录后，简单列了一下，如下图：

当然，此次测试目的主要是为挖掘漏洞，所以浅尝辄止。
另外为了更好的教导肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生，我对肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生说，肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生你可以仔细思考一下，如果这些问题放到实际环境中又会是什么样呢？比如说，
1.攻击者利用不安全的提示通过爆破获取了其中一个已知用户名，运气好的可能直接获得到管理员账号
2.攻击者利用响应绕过直接登录进系统，获得系统后台权限
3.攻击者发现命令执行漏洞，利用该漏洞获得主机权限
4.攻击者利用获取的主机对内网横向渗透
5.攻击者获取了企业部分主机权限，随着攻击者掌握了越来越多的信息，整个企业随之沦陷
我们作为安全从业人员，本身就肩负着相应的安全责任，所以我希望你可以汲取教训，做事一定要认真细致，我相信你可以的！

四、末尾彩蛋

其实，只是个男小弟。
见上文中的文字:原谅他。
你不会真以为会有肤白貌美大长腿就是不知道为什么冬天这么冷还穿这么单薄的女实习生？
不会吧，不会吧？

附赠蝎子莱莱表情包：