前言
通过这一次hw为了发现自己的不足写下这篇文章,坑点就在于没有搞历史漏洞,我以为经过这么多次了 还有那么多历史漏洞 所以这次总结反省自己的不足,这次打攻防不搞历史漏洞 感觉更像是在挖src 众测一样 所以深刻的意识到自己是红队 不是挖src了 虽然挖到不少高危但还是没有口子 很遗憾 但是对于小白参加攻防来说 用挖src的思维来打这些地级市还是不错的 对于我自己的要求的那样 就是耻辱
我把两天时间分成几个过程来讲 0、规则研究 1、信息收集 2、漏洞挖掘 3、刷分技巧
0、规则研究
本次行动总共两天时间 因为我们提前一天去了 所以提前通过客户那里了解到了核心资产 也就是一定会在目标内的资产
前一天晚上打核心资产发现门户统一认证系统 这个好好看了一波
看见这个我还是太年轻了 稳了 打点又能怎么样 又不能内网渗透 结果可以!
高危 50 分,中危 20 分,低危漏洞 5 分 资产表外的打六折
1、信息收集
提前一天信息收集 最开始的时候只给了一个*.域名 这个时候发现门户统一认证系统 挖了两个高危出来
开始后也只给了这个
当时只有目标已经靶标,挖公司啥的还是有些心得的所以把公司都提取出来,单独打。同时也发现了昨天的核心资产果然也在其中
首先通过enscan把备案号以及域名都提取出来
再通过域名将fofa oneforall arl跑子域名
再跑的过程中通过公司名称放到hunter上一个一个看 历史漏洞反而没关注 这个是我的问题 我以为历史漏洞早被刷完了 再把跑出来的域名和子域名以及IP放到ehole里进行指纹识别
攻防也没法像渗透测试那样一点一点搜 我就是搜个大概
还有学校这里从edu上搜索相关区域的学校信息
2、漏洞挖掘
统一认证系统
首先看到页面,当时反应是有注册!同时先把所有功能都过一遍
短信登录 这里可以看有没有验证码爆破、验证码回显、验证码复用等等
忘记密码
手机和邮箱 在进入后台可以绑定邮箱 但是现在倒是无法用邮箱来搞事情
第一个高危:
门户统一认证系统存在验证码复用、突破注册限制、用户名爆破漏洞
这里本意是爆破用户名的 发现在登陆处回显用户名或密码错误 注册处回显用户名已使用
常见用户名和burp自带的username先跑一波
605返回长度均为操作成功 也就是 注册成功!验证码复用 突破注册限制
用户名爆破
==危害:== 用户名爆破
当攻击者持有多个用户名时会增加成功爆破登录的可能性,从而更进一步实现越权的危害。存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。
验证码复用以及突破注册限制漏洞同时存在
同时他是统一认证系统所以都可以登录
第二个高危 账号接管
注册存在任意账户接管(易加门户-注册)
漏洞描述: 注册时,使用和别人的身份证注册,其它的信息使用本人的,登录时,切换身份,达到账号接管的目的
漏洞危害: 对用户提交的注册信息进行校验,如身份证等,同时一个账号限制只能注册一次。添加多次校验
漏洞详情: 思路:系统会根据注册的证件号及姓名,在登录口时,供用户选择切换
登录时,使用账号密码登录,登录后,存在接口,选择切换身份,在切换时,任意切换,因此攻击者只需已知账号添加到受害者中,使用受害者的身份证注册,便可达到任意账户接管的目的
账号A:2024Net 账号B:Locks01
1、访问目的地址:
2、点击注册
3、注册两个账号 思路:系统会根据注册的证件号及姓名,在登录口时,供用户选择切换
登录时,使用账号密码登录,登录后,存在接口,选择切换身份,在切换时,任意切换,因此攻击者只需已知账号添加到受害者中,使用受害者的身份证注册,便可达到任意账户接管的目的
4、切换身份,选择Locks01
5、成功接管B账号的权限:
POST /aep/eduplat-api-service/changeAccountLogin/changeAccount HTTP/1.1
Host:
Content-Length: 26
Sec-Ch-Ua: "Google Chrome";v="125", "Chromium";v="125", "Not.A/Brand";v="24"
Accept: application/json, text/plain, */*
Accesstoken: 491bb45f-6e2f-4c57-85ce-24a34aa9a73d
Content-Type: application/x-www-form-urlencoded;charset=UTF-8
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Sec-Ch-Ua-Platform: "Windows"
Origin:
Sec-Fetch-Site: same-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer:
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Priority: u=1, i
Connection: close
userId=1797485905145802754
修复建议: 注册时,提供多重校验
第三个高危 越权信息
越权绑定他人所有信息(易加门户-账户安全)
漏洞描述: 攻击者在获得同一级别用户帐号后,可以利用一些方式绕过权限检查,访问或者操作到同一级别其他账户信息。
漏洞危害: 修改个人账号的手机号码信息时,修改id时,越权绑定他人所有信息
漏洞详情: 1、访问目的地址,找到修改信息功能点:
2、点击解除绑定,解除绑定后,会再来两个数据包
3、A账号数据:
B账号数据:
4、点击账号安全,会自动刷新两个数据包:
5、抓包时修改userid:
账号A(2024Net):userId=1797243927509176322 账号B(Locks01):userId=1797485905145802754
账号A的替换账号B
6、成功查看他人所有信息:
在系统中,加入用户身份认证机制或者tonken验证,防止可被直接链接就可访问到用户的功能进行操作。
第四个高危:认证绕过
存在教师认证通过漏洞
【授权、认证机制绕过】 没有对用户的信息进行验证 直接就通过认证了 选择身份这里有教师身份、机构工作人员身份
认证通过后即可使用平台以及应用中心
同时教师招聘应用中还可以上传pdfxss
不错 还是有防护的
和裁判better的艺术
访问URL,发现密钥泄露,涉及到敏感信息
密钥泄露任意绑定手机号码,手机号码本来是绑定个人微信的,是独一的,若任意绑定,可导致其他人无法绑定
抓取获取手机号的数据包,由数据包可知,请求端存在sessionkey并且微信小程序的加密方式是AES/CBC模式,因此暴露了sessionkey那么可以对其加密参数端进行解密:
裁判驳回:没有三要素 只泄露手机号
我重新申请理由:此漏洞危害点不在于信息泄露,而在于他的加密方式被泄露了。同理就可以解密出此处手机号,也就相当于可以登录任意的手机号,可以进行信息收集员工、运维手机号登录
认证平台存在jwt绕过登录
同时泄露所有人的bid
替换返回包 成功登录后台
进入后台后 在认证处存在PDF型XSS
这些没有技术含量的就不多展示了 只能说得细心 文件上传型XSS都是高危 刷了不少分
3、刷分技巧
第一步:历史漏洞刷分 手速要快
第二步:通用漏洞 编辑器XSS刷分
第三步:逻辑漏洞
第四步:小程序刷分 这里漏洞很多 比较容易有产出 后门交的源码泄露、swagger-ui 都重复了 没必要卷这些分 除非身后有帮手
原文始发于微信公众号(Poker安全):地级市攻防总结
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论