先从信息收集开始,查备案找到四个域名,批量丢到鹰图看一看资产,顺便灯塔也跑一跑(灯塔这里不放了,上面东西蛮多的)。
子域名、扫扫目录,收集大概就这些了,子域名收集到一个403页面,属实是没怎么见过了一般遇到的访问根目录下就能看到网站页面,只有部分域名下存在多个网站(类似于一台主机中一个目录一个网站)或没做好重定向,所以会出现403。
话不多说,扫扫目录好了,dirsearch -u https://domain/-r -x 404
这不就来了吗,访问搞到多个网站,全都是直接跳转到登录页面。
柿子还得挑软的捏,还是熟悉的页面
直接开启burp,抓包进行爆破,顺便试试有无注入,很好,跑出来的弱口令账号几乎都没有进入后台的权限。
无奈,只好看看swagger、druid之类的
很好,swagger寄了
关键时刻还得看看druid,弱口令
很好总算是有点收获了。
但是吧,离交差还是差点。提取出url看看有没有未授权
再次祭出dirsearch指定目录然后代理到burp看看有没有可用的。
dirsearch -u http://domain/ -w dir --proxy=http://127.0.0.1:8080
很好这波狂喜,路径几乎全都可以正常访问。heapdump文件也有但是用处不是很多,解开并没有发现有用的东西。
其中找到几个接口拼接参数直接拿到网站登陆的用户账号密码
密码md5的可以直接接出来,好家伙直接就是弱口令123,就是用户名有点难猜八成有的人可能不多,格式是这样的“AA001”、“xxxx0000”,大概就是四个字母缩写加四个数字的用户名,这里就不看了。
后面简单看了看翻了翻之前的接口,找到个类似系统管理的接口
很好,资产收集算是可以交差了
最后,因为时间原因这次其实有些遗憾没能拿下,但是薅了7、8个洞,资产收集的也差不多算是可以交差。
祝各位师傅天天好运气!
原文始发于微信公众号(迪哥讲事):记一次实战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论