分享某单位众测项目漏洞挖掘中的一些手法

admin 2024年11月4日23:28:08评论27 views字数 4018阅读13分23秒阅读模式
本文由掌控安全学院 -

 Tobisec

 投稿

 

0x1 前言

哈喽,师傅们!
这次给师傅们分享的是前段时间给某单位的一个众测项目,跟着几个大牛师傅一起做的项目,这次就给师傅们分享两个我自己挖的几个不敏感的漏洞,放上去给师傅们演示下,然后给师傅们分享下,让师傅们能够对短信轰炸/验证码可爆破/任意用户注册/spf邮件伪造漏洞有一个更加深刻的感触,然后也让师傅们感受下众测。

0x2 资产测绘

一、资产分配

首先众测之前都会先给我们发一个资产的汇总表格,然后让我们跟着这个资产表格去打相关的资产,这个过程中资产收集和信息收集就很重要了,在这个过程中很多师傅们在收集边缘资产的时候,很容易打偏,导致众测甲方不收这个漏洞,说通俗点也就是没有钱。
下面这个是我前段时间的一个众测的一个资产表格,有域名、IP然后就是app、web站点、微信小程序等资产。
分享某单位众测项目漏洞挖掘中的一些手法

img

二、URL探测/域名、子域名收集

1、灯塔/无影工具

我们可以使用灯塔和FOFA联合使用,然后进行对目标资产的域名和IP进行一个子域名挖掘和指纹相关的识别,还有就是敏感信息探测
分享某单位众测项目漏洞挖掘中的一些手法

img
然后等着灯塔扫描完成以后,就可以在资产里面查看扫描结果了
分享某单位众测项目漏洞挖掘中的一些手法

img
需要注意的是这里的POC建议不上,直接上指纹就可以了,因为上POC很多安全设备之类的就容易把你的IP给ban了
分享某单位众测项目漏洞挖掘中的一些手法

img
像打POC的话可以单独使用无影这个工具或者其他的工具也可以
分享某单位众测项目漏洞挖掘中的一些手法

img

2、POC平台

说到利用POC了,那么我给师傅们推荐下DayDayPOC这个站点,里面的POC还是写的蛮详细的,比如在网上一些POC不公开,在里面很多都是可以找到的
网站:https://www.ddpoc.com/
分享某单位众测项目漏洞挖掘中的一些手法

img
你像比如最新出的一些漏洞,这个平台都有,我们查看这个站点的POC的时候需要提前注册登录下
分享某单位众测项目漏洞挖掘中的一些手法

img

3、oneforall子域名收集工具

然后还有就是使用专门搞子域名收集的工具了,比如oneforall黑鬼黑客工具,还是蛮厉害的,在子域名收集的过程中,能够帮我们快速的收集到很多的子域名,包括我们常说的打边缘资产。
这里我先把这些域名收集好,把他们都放到一个txt文件里面,然后再使用我们的然后使用oneforall收集改目标站点的子域名
分享某单位众测项目漏洞挖掘中的一些手法

img
导出以后,对于去重这方面直接使用exec表格就可以了,使用exec表进行筛选状态码为200的域名,且再进行域名和IP去重的操作,为了后面减少测试的工作量
分享某单位众测项目漏洞挖掘中的一些手法

img
然后对于子域名的验证,主要是怕我们打的边缘资产不属于这个厂家的,那么我们就可以使用鹰图进行一个资产的验证,看下面的 icp备案企业
分享某单位众测项目漏洞挖掘中的一些手法

img

0x3短信轰炸/验证码可爆破漏洞

1、短信轰炸

这里先给师傅们分享下这个短信轰炸漏洞,给师傅们讲解下比如我们在众测和挖掘企业src的过程中是收这个漏洞的,奖金也是50以上的,但是师傅们在挖掘edusrc的时候是不收这个漏洞的。
这里这个是一个众测的自来水公司的一个功能点,这里我们直接访问的是注册页面,我们这里使用bp挂好代理,然后再点击发送验证码,利用bp抓包:
分享某单位众测项目漏洞挖掘中的一些手法

img
我们先go一下,发现验证码接收成功,但是第二次就显示短信发送过于频繁了。
这里我们就可以想下了,我们能不能进行一个验证码发送限制次数的绕过,这个要是能绕过,无限次数的发送验证码是会消耗这个自来水公司的一个资源的。像这个要是不了解的师傅们在碰到这样的绕过,可以多上网进行一个资料查找。
分享某单位众测项目漏洞挖掘中的一些手法

img
然后我们就可以进行一个测试了,看看什么字符可以进行绕过验证码发送呢?
经过测试发现,可以通过@、空格、+86、逗号等进行绕过,从而达到短信轰炸的漏洞危害:
分享某单位众测项目漏洞挖掘中的一些手法

img
我们如果要把危害加大,达到一分钟短信轰炸达到几十条,那么我们就要利用bp的爆破了,我们手动添加多个绕过字符,然后进行爆破,尽量多的提高每分钟爆破短信验证码的发送次数,以此来提高这个漏洞的危害
分享某单位众测项目漏洞挖掘中的一些手法

img
师傅们可以看到下面的手机验证码,一次性发送了很多
分享某单位众测项目漏洞挖掘中的一些手法

img
对于挖掘企业src和众测的时候,厂家收不收呢,其实可以看看相关的文档,一般都是定义每分钟15/30条以上就收

2、验证码爆破

对于短信验证码的爆破,这个漏洞是蛮简单的一个漏洞了,众测4位数或者6位数的一个爆破
这里我们直接查看我们接收到的短信,发现都是四位数,对于四位数的验证码,都是可以进行验证码爆破的
分享某单位众测项目漏洞挖掘中的一些手法

img
对于四位数的一个验证码爆破,直接在bp里面的爆破模块设置0000-9999即可进行爆破了
经过burp的四位数验证码爆破,成功爆破验证码7774:
分享某单位众测项目漏洞挖掘中的一些手法

img

3、修复建议:

1.验证码绑定手机号:确保验证码只能发送到注册时提供的手机号,而不是通过其他途径发送。这可以防止攻击者利用特殊字符绕过验证码发送的限制。
2.限制验证码发送频率:在一定时间内限制同一手机号接收验证码的次数,防止短时间内发送大量验证码,从而防止短信轰炸攻击。
3.增加验证码有效期:确保验证码的有效期不宜过长,通常建议在几分钟至十几分钟之间。这样即使攻击者能够获取验证码,也有限制时间内使用。
4.加强验证码复杂度:增加验证码的复杂度,例如增加验证码位数、使用字母、数字和特殊字符的组合,以增加验证码被破解的难度。
5.限制相同IP地址或设备的访问频率:检测并限制来自同一IP地址或设备的验证码请求频率,以防止攻击者通过自动化工具进行暴力破解。

0x4 任意用户注册漏洞

还是同一个系统,众测的时候我也会去看注册接口,看看这个注册接口存在任意用户注册。这里我们先在注册页面,随机输入一个很随意的手机号用户,进行注册,然后利用bp抓包,我们需要抓两个包,一个是有手机号和需要输入验证码功能的包,还有一个就是利用手机号发送验证码的包
分享某单位众测项目漏洞挖掘中的一些手法

img
师傅们,我们从下面的bp数据包,可以看到下面这个是有手机号和需要输入验证码功能的包
分享某单位众测项目漏洞挖掘中的一些手法

img
然后还有一个数据包,就是下面这个数据包是利用手机号发送验证码的包
分享某单位众测项目漏洞挖掘中的一些手法

img
然后就是发送验证码,并且利用bp抓的需要输入验证码的那个包进行验证码四位数爆破:
分享某单位众测项目漏洞挖掘中的一些手法

img
可以看到下面随便输入的手机号以及验证码code已经成功爆破出来了
分享某单位众测项目漏洞挖掘中的一些手法

img
可以发现,我们开始随便输入的一个手机号用户注册成功了
分享某单位众测项目漏洞挖掘中的一些手法

img

0x5 SPF邮件伪造漏洞

1、spf邮件伪造漏洞简介:

SPF 记录是一种域名服务(DNS)记录,用于标识哪些邮件服务器可以代表您的域名发送电子邮件
SPF 记录的目的是为了防止垃圾邮件发送者在您的域名上,使用伪造的发件人地址发送邮件。
原理:未设置spf导致的邮件任意伪造,可以用来钓鱼社工,本身就是高危
若您未对您的域名添加 SPF 解析记录,则黑客可以仿冒以该域名为后缀的邮箱,来发送垃圾邮件。

2、漏洞危害:

可以用未进行安全配置的网站域名,发送邮件。
比如:www.baidu.com有这个漏洞,你就可以伪造[email protected]给受害人发邮件进行钓鱼。[1]
src收的少,但是重测和渗透测试项目可以交。
注意:如果没有v=spf1或者没spf就存在邮件伪造漏洞。
•-all 不能伪造,~all可以伪造

3、测试漏洞

我们直接拿baidu.com的域名来给大家演示下,用kali的nslookup 工具测试下
可以看到下面的回显,存在spf记录,是-all参数,说明不能任意伪造。
┌──(root-kali)-[~]└─# nslookup -type=txt baidu.com
分享某单位众测项目漏洞挖掘中的一些手法

img
还可以使用dig -t命令来测试
┌──(root-kali)-[~]└─# dig -t txt baidu.com
分享某单位众测项目漏洞挖掘中的一些手法

img

4、SPF解析不当导致绕过

把下面的spf配置记录复制下来
分享某单位众测项目漏洞挖掘中的一些手法

img
测试地址如下:
https://www.kitterman.com/spf/validate.html
分享某单位众测项目漏洞挖掘中的一些手法

img
这里显示spf解析配置正确
分享某单位众测项目漏洞挖掘中的一些手法

img
下面拿一个存在spf解析错误的案例来演示下:
分享某单位众测项目漏洞挖掘中的一些手法

img
SPF记录报错,在这条SPF记录中,存在多个IP段,但只有开头的一段ip用了ipv4,这就导致了语法错误。因为这个错误,将导致整个SPF记录完全失效,因为SPF无效,邮件接收方的SPF检测功能也就失效了。

5、swaks 测试

使用kali自带工具swaks 测试
swaks --body "helloword" --header "Subject:testT" -t 自己的邮箱 -f [email protected]body为内容Subject为标题-t为目标邮箱-f为伪造的发送方,这里我们伪造加了cn字眼,这里伪造改不明显字眼等都会进垃圾箱
我们先申请一个临时邮箱:
http://24mail.chacuo.net/
分享某单位众测项目漏洞挖掘中的一些手法

img
然后我们使用kali自带的swaks 工具进行测试,结果如下
┌──(root-kali)-[~]└─# swaks --body "【2024年8月1日】 检测到您教务系统长时间未修改密码,请及时修改密码确保账户安全 手机管家@163.com【该邮件自动监测请勿回复】" --header "Subject:vivo" -t [email protected] -f [email protected]
分享某单位众测项目漏洞挖掘中的一些手法

img
看到这里,我们要是对标题和内容进行改进,那么我们是不是就可以尝试钓一波鱼了呢?

6、浅谈

综上,当我们在查看一个域名的SPF记录时,它其实不只是一条解析记录,更是一种邮件安全的策略,SPF记录配置不严或SPF解析错误,就容易导致大量本该被拦截的邮件直接被放进来,而绕过的策略就隐藏在这条SPF记录里面。

0x6 总结

这篇众测的相关漏洞挖掘的文字就到这里了,希望这篇文章对师傅们有帮助哈!
然后师傅们要是对于相关漏洞有什么问题的欢迎在评论区进行留言,这篇文字主要是给师傅们分享记某单位众测中短信轰炸/验证码可爆破/任意用户注册漏洞,然后再拓展下企业src挖掘的可以捡漏的低位漏洞,比如SPF邮件伪造漏洞。
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

分享某单位众测项目漏洞挖掘中的一些手法

 

原文始发于微信公众号(掌控安全EDU):分享某单位众测项目漏洞挖掘中的一些手法

 


  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月4日23:28:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   分享某单位众测项目漏洞挖掘中的一些手法https://cn-sec.com/archives/3353594.html

发表评论

匿名网友 填写信息