一次有趣的渗透测试

最近的项目越来越难搞了，压根挖不动

什么 gov 门户，什么加密后台，又或者 js 文件都没有，api 接口更是少之又少

临近放假，项目经理给了三个网站，让我测一下，说之前行动被打了，漏洞已经修复了，能不能发现其他隐患。

那就开干，第一个是门户网站，功能点都翻了一下，除了搜索框，其余都是静态文件 html。

查看源码，发现有多层路径嵌套

/u/cms/xxx

/r/cms/xxx

/c/cms/xxx

于是猜测 肯定是用了 cms，扫了一下目录，只要 rss 可以访问

打开后，发现是 jeecms，找遍了路径始终没找到后台地址怎能拼接的。于是就放弃了

想着就扫目录吧，一级一级的扫描

然后就发现了编辑器

限制死了，图片只能放到编辑器前台，后台上传接口 405，于是便收获到反射 xss 。

第二个是系统业务平台，想着用小熊猫看一下接口，刚打开就卡着了，等了几分钟，发现上千个接口路径，心里想着看来是有漏洞要出现了

在 ip_port 发现一堆 xlsx文件，按道理都是模版文件，基本上都不会去看一眼，但是直觉告诉我，有必要看一下

于是，一个个访问下载，最终在一个链接里，发现了带有敏感数据的人员信息。

身份证，姓名，手机号，年龄，地址，以及人员分类。

尝试使用默认密码，没登进去。G

登录页面有注册按钮，貌似不需要审核，于是小号注册了一下。

但是有 waf ，burp 被动扫描给我干封了，开启飞行模式换了一下，关闭被动扫描，后台没几个功能点，寻找上传点，文件名xss 一下，又封了，于是来回 ✈️

上传附件，可以 pdf，心想着是不是可以水个 pdf-xss 了，也不错。

上传后傻眼了，pdf-view 插件

尝试修改下后缀，svg，xml可上传

html，封 IP

jsp ，封 IP

于是上传下 svg 看看是否能找到具体路径，忙了一大圈，发现只有下载链接，没有访问链接

更离谱的是，他还有签名，就导致每次都不能重发，需要先拦截，编辑后发送。

最后在账号中心，有个附件上传，上传接口是自定义的，可以放问到具体路径。但是 waf 依旧拦截，正常svg 能上传，插入恶意语句，G

pdf-xss 直接拦截，于是随便输入内容，多写点，然后在制作 pdf-xss，就绕过 waf 检测了。

第三个是小程序，打开后强制登录。

于是用 burp+proxifier 抓一下登录包，发现接口竟然和第二个网站用的一样，大胆猜测一下，对，没错。

伪造 token，拼接接口

使用注册的账号的 token，抓取第三个数据包，将 token 放进来，接口再去测试一下，发现几个敏感数据的接口信息。

至此测试结束。

原文始发于微信公众号（轩公子谈技术）：一次有趣的渗透测试