地级市攻防总结

admin 2024年11月19日13:44:18评论49 views字数 3184阅读10分36秒阅读模式

前言

通过这一次hw为了发现自己的不足写下这篇文章,坑点就在于没有搞历史漏洞,我以为经过这么多次了 还有那么多历史漏洞 所以这次总结反省自己的不足,这次打攻防不搞历史漏洞 感觉更像是在挖src 众测一样 所以深刻的意识到自己是红队 不是挖src了 虽然挖到不少高危但还是没有口子 很遗憾 但是对于小白参加攻防来说 用挖src的思维来打这些地级市还是不错的 对于我自己的要求的那样 就是耻辱

我把两天时间分成几个过程来讲 0、规则研究 1、信息收集 2、漏洞挖掘 3、刷分技巧

0、规则研究

本次行动总共两天时间 因为我们提前一天去了 所以提前通过客户那里了解到了核心资产 也就是一定会在目标内的资产

前一天晚上打核心资产发现门户统一认证系统 这个好好看了一波

地级市攻防总结看见这个我还是太年轻了 稳了 打点又能怎么样 又不能内网渗透 结果可以!

高危 50 分,中危 20 分,低危漏洞 5 分 资产表外的打六折

1、信息收集

提前一天信息收集 最开始的时候只给了一个*.域名 这个时候发现门户统一认证系统 挖了两个高危出来

开始后也只给了这个

地级市攻防总结当时只有目标已经靶标,挖公司啥的还是有些心得的所以把公司都提取出来,单独打。同时也发现了昨天的核心资产果然也在其中

首先通过enscan把备案号以及域名都提取出来

地级市攻防总结再通过域名将fofa oneforall arl跑子域名

地级市攻防总结再跑的过程中通过公司名称放到hunter上一个一个看 历史漏洞反而没关注 这个是我的问题 我以为历史漏洞早被刷完了 再把跑出来的域名和子域名以及IP放到ehole里进行指纹识别

地级市攻防总结攻防也没法像渗透测试那样一点一点搜 我就是搜个大概

还有学校这里从edu上搜索相关区域的学校信息

2、漏洞挖掘

统一认证系统

首先看到页面,当时反应是有注册!同时先把所有功能都过一遍

地级市攻防总结短信登录 这里可以看有没有验证码爆破、验证码回显、验证码复用等等

地级市攻防总结忘记密码

地级市攻防总结手机和邮箱 在进入后台可以绑定邮箱 但是现在倒是无法用邮箱来搞事情

地级市攻防总结

第一个高危:

门户统一认证系统存在验证码复用、突破注册限制、用户名爆破漏洞

地级市攻防总结

地级市攻防总结这里本意是爆破用户名的 发现在登陆处回显用户名或密码错误 注册处回显用户名已使用

常见用户名和burp自带的username先跑一波

地级市攻防总结605返回长度均为操作成功 也就是 注册成功!验证码复用 突破注册限制

地级市攻防总结

用户名爆破

地级市攻防总结==危害:== 用户名爆破

当攻击者持有多个用户名时会增加成功爆破登录的可能性,从而更进一步实现越权的危害。存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。

验证码复用以及突破注册限制漏洞同时存在

同时他是统一认证系统所以都可以登录

地级市攻防总结

第二个高危 账号接管

注册存在任意账户接管(易加门户-注册)

漏洞描述: 注册时,使用和别人的身份证注册,其它的信息使用本人的,登录时,切换身份,达到账号接管的目的

漏洞危害: 对用户提交的注册信息进行校验,如身份证等,同时一个账号限制只能注册一次。添加多次校验

漏洞详情: 思路:系统会根据注册的证件号及姓名,在登录口时,供用户选择切换

登录时,使用账号密码登录,登录后,存在接口,选择切换身份,在切换时,任意切换,因此攻击者只需已知账号添加到受害者中,使用受害者的身份证注册,便可达到任意账户接管的目的

账号A:2024Net     账号B:Locks01

1、访问目的地址:

地级市攻防总结

2、点击注册

地级市攻防总结3、注册两个账号 思路:系统会根据注册的证件号及姓名,在登录口时,供用户选择切换

登录时,使用账号密码登录,登录后,存在接口,选择切换身份,在切换时,任意切换,因此攻击者只需已知账号添加到受害者中,使用受害者的身份证注册,便可达到任意账户接管的目的

4、切换身份,选择Locks01

地级市攻防总结

5、成功接管B账号的权限:

POST /aep/eduplat-api-service/changeAccountLogin/changeAccount HTTP/1.1
Host: 
Content-Length: 26
Sec-Ch-Ua: "Google Chrome";v="125""Chromium";v="125""Not.A/Brand";v="24"
Accept: application/json, text/plain, */*
Accesstoken: 491bb45f-6e2f-4c57-85ce-24a34aa9a73d
Content-Type: application/x-www-form-urlencoded;charset=UTF-8
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Sec-Ch-Ua-Platform: "Windows"
Origin: 
Sec-Fetch-Site: same-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: 
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Priority: u=1, i
Connection: close

userId=1797485905145802754

修复建议: 注册时,提供多重校验

第三个高危 越权信息

越权绑定他人所有信息(易加门户-账户安全)

漏洞描述: 攻击者在获得同一级别用户帐号后,可以利用一些方式绕过权限检查,访问或者操作到同一级别其他账户信息。

漏洞危害: 修改个人账号的手机号码信息时,修改id时,越权绑定他人所有信息

漏洞详情: 1、访问目的地址,找到修改信息功能点:

地级市攻防总结2、点击解除绑定,解除绑定后,会再来两个数据包

3、A账号数据:

地级市攻防总结

B账号数据:地级市攻防总结

4、点击账号安全,会自动刷新两个数据包:

地级市攻防总结5、抓包时修改userid:

账号A(2024Net):userId=1797243927509176322 账号B(Locks01):userId=1797485905145802754

账号A的替换账号B

地级市攻防总结6、成功查看他人所有信息:

地级市攻防总结在系统中,加入用户身份认证机制或者tonken验证,防止可被直接链接就可访问到用户的功能进行操作。

第四个高危:认证绕过

存在教师认证通过漏洞

地级市攻防总结【授权、认证机制绕过】 没有对用户的信息进行验证 直接就通过认证了 选择身份这里有教师身份、机构工作人员身份

认证通过后即可使用平台以及应用中心

地级市攻防总结

同时教师招聘应用中还可以上传pdfxss

地级市攻防总结
地级市攻防总结

不错 还是有防护的

地级市攻防总结

和裁判better的艺术

访问URL,发现密钥泄露,涉及到敏感信息

密钥泄露任意绑定手机号码,手机号码本来是绑定个人微信的,是独一的,若任意绑定,可导致其他人无法绑定

抓取获取手机号的数据包,由数据包可知,请求端存在sessionkey并且微信小程序的加密方式是AES/CBC模式,因此暴露了sessionkey那么可以对其加密参数端进行解密:

地级市攻防总结
地级市攻防总结

裁判驳回:没有三要素 只泄露手机号

我重新申请理由:此漏洞危害点不在于信息泄露,而在于他的加密方式被泄露了。同理就可以解密出此处手机号,也就相当于可以登录任意的手机号,可以进行信息收集员工、运维手机号登录

认证平台存在jwt绕过登录

地级市攻防总结

同时泄露所有人的bid

地级市攻防总结

替换返回包 成功登录后台

地级市攻防总结

进入后台后 在认证处存在PDF型XSS

地级市攻防总结
地级市攻防总结
地级市攻防总结

这些没有技术含量的就不多展示了 只能说得细心 文件上传型XSS都是高危 刷了不少分

3、刷分技巧

第一步:历史漏洞刷分 手速要快

地级市攻防总结

第二步:通用漏洞 编辑器XSS刷分

地级市攻防总结

第三步:逻辑漏洞

地级市攻防总结

第四步:小程序刷分 这里漏洞很多 比较容易有产出 后门交的源码泄露、swagger-ui 都重复了 没必要卷这些分 除非身后有帮手

原文始发于微信公众号(Poker安全):地级市攻防总结

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月19日13:44:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   地级市攻防总结https://cn-sec.com/archives/3410559.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息