0x01 前言
通过对目标公司及其相关子域名资产的深入测试,发现多个漏洞:文件上传导致敏感信息泄露(STS授权信息)、小说网站用户越权访问漏洞(批量枚举用户信息)、未授权接口访问与反射型XSS。过程中结合多种技术手段进行验证,尽管一些漏洞影响有限,但全程提升了对渗透测试中功能点挖掘、越权分析和权限逻辑漏洞利用的实践经验。注意未授权千万不要进行任何测试行为。
末尾可领取挖洞资料文件
0x02 漏洞发现
开局只得到目标名字:xxx娱乐传媒有限公司,以及几个个大致的域名类似:*.xxx.tv,*.yyy.tv等。挑了一个它们公司旗下的一个公益平台进行测试。果然在点击功能点的时候,无意中就跳转到一个机构入驻界面。
发现在一个页面存在文件上传
传图片发现居然返回了:accessKeyId、securityToken、accessKeySecret信息,心中顿时狂喜
由于不知道是那个云厂商,所以先上传了一张正常图片上去,然后右键查看图片的url地址,发现是阿里云。
知道了是那个云厂商之后就好办了,祭出CF(工具星球有最新的)准备大干一场,结果发现它是STS临时授权
STS临时授权多数都设置有访问权限,基本上只能做一些有限的操作如:文件上传。果然配置好CF之后,无法列举当前凭证下的OSS、ECS、RDS等资源。
尝试删除cookie之后,发现依旧可以返回accessKeyId、securityToken、accessKeySecret等信息。理论上返回这些信息是相当危险的,但是由于设置一定的权限。所以这里最多算个低危,之后尝试使用ossbrowser连接登陆果然无法成功。到此,查询了多个资料之后依旧无法对STS进行深入利用,就换了目标。
逛了一圈资产表,发现目标里面居然有个小说网站。想着以前没有对此类网站进行测试过,就过去看了看。
随便点了一下,基本上许多功能都需要登陆才行。这里就注册了账号进行了登陆,在个人中心处发现了一个有趣的数据包
它返回了用户名、手机号、邮箱、头像等信息,发现其中6254969似乎是用户id,就尝试将该数字进行变化,果然数据包发生了变化,但是没有返回其它用户的信息。这里果断又重新注册了一个账号,获取了小号的用户id。然后登陆第一个账号查看id值是否变化,发现id值果然没有变化。然后重新抓包将id值进行替换:
成功获取其它用户信息,这里直接对参数进行批量爆破,获取到了大量用户信息。
理论上只要有时间,那么全网站的用户信息(包括作者)都可以枚举出来,这样是相当的危险的。
其实在上面那个越权测完之后,时间就到了晚上已经不早了(从我做起,拒绝修仙!)。就找找了之前没有怎么看的资产,直到看见了这个网站。
开局直接404,连功能点都没有。不过看到这个网站的标题感觉很奇怪,404 NOT Found 后面还跟着一个 webman。据我“肾透”多年的经验来看,事出异常必有妖。直接掏出dirseach对其一顿扫描,果然发现了一个后台地址。
在js中发现了几个比较显眼的路径:/admin/index/draw/、/admin/bind/index/、/admin/system/code/、/admin/system/data/,逐一访问之。发现功能接口泄露和大量信息泄露。
然后在访问路径的时候,发现了一处xss漏洞
这次测试时间挺短的,只有1天多,第二天爬起来的时候资产都还没有扫完,项目就结束了
0x03 总结
最后总结“渗透测试 渗透测试,核心还是在 测试 这2个字身上”也得胆大心细才行,只有不断的学习与实践才能变得更强。知识面决定了攻击面。喜欢的师傅可以点赞转发支持一下谢谢!
0x04
原文始发于微信公众号(渗透安全HackTwo):记一次某SRC的漏洞挖掘过程|挖洞技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论