0x01 前言
我们知道Fuzz Testing (模糊测试)是一种测试方法,而对于目录Fuzz而言,取得的成效跟字典有着密切关系,下面我将记录一次自己的Fuzz思路从而接管28台云服务器包括支付集群并取得万元赏金的过程。
0x02 漏洞背景
一次众测项目,厂商提供了一批域名,我们针对一个域名进行测试,称此域名为http://www.target.com/wq1/login.html。
0x03 漏洞挖掘过程
1、观察此域名,着重观察wq1,其实也没啥好观察的,前面俩个小写字母,外加一个阿拉伯数字。构造三位参数的字典,每一位都从0-9以及26位字母中选取,保存为1.txt。
使用dirsearch对域名进行探测,命令为
python dirsearch.py -u http://www.target.com -w 1.txt我们从中得到如下信息。
301 - 232B - /ax1 -> http://www.target.com/ax1/
访问http://www.target.com/ax1/,返回404页面,继续使用dirsearch对http://www.target.com/ax1/进行目录探测,发现http://www.target.com/ax1/druid/login.html返回200状态码。
2、访问
http://www.target.com/ax1/druid/login.html,发现常用的admin/admin,admin/123456,druid/druid,druid/123456等无法登录,由于druid登录界面一般都无验证码以及错误次数限制,我们构造字典使用burp对其进行暴力破解,模式为Battering ram,成功爆破出账号密码,为adminstrator/adminstrator。
3、进入到druid页面,我们关注druid/weburi.html页面,里面有网站访问url的记录,我们使用正则表达式将其提取出来。提取的时候,我们从druid/weburi.json中进行提取,原因有俩点:
(1)druid/weburi.html中长度过长的目录显示不全,超长的部分会用省略号代替,提取后会不完整。
(2)druid/weburi.html中目录过多时,网页不一定能及时刷新出来。
5、将提取的目录做成字典,对其进行爆破,发现一个json目录返回了200其返回字段中带有acesskey字段。
6、打开行云管家,将其导入其中,可接管共28台云服务器以及支付集群,至此,已将漏洞报告提交给厂商。
0x04 厂商反馈
这个漏洞让我获得了9000的赏金。
0x0 总结
针对不同的目录结构构造不同的目录字典。
转载自公众号网络安全之旅,作者:小乳酸。
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
原文始发于微信公众号(黑白之道):记录一次独特的Fuzz技巧从而接管28台云服务器包括支付集群并取得万元赏金的过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论