漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

admin 2025年1月15日10:54:48评论16 views字数 2306阅读7分41秒阅读模式

本篇文章共 2000字,完全阅读全篇约 3 分钟 州弟学安全,只学有用的知识

前言

好久没有写渗透测试的文章了,因为这段时间工作和其它原因一直没时间,今天就简单水一下某次SRC的思路吧,从信息收集到接管oss半小时时间,国内某制造商,资产不多

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感
    本次信息收集采用互联网信息收集(包括不限于:shodan、fofa、hunter、google等)及本地灯塔信息收集,因为时间问题,就简单打点了点资产,端口就选TOP100,没有漏扫

* 故事情节虚拟、文章仅供交流与学习、请勿非法操作,否则后果自负

* 如您认为思路尚可,烦请转发朋友共同学习

漏洞挖掘阶段

信息收集

使用hunter进行打点:domain="example.com"&&web.title!=""(此处去除空标题,个人经验,很多空标题的页面没什么内容,容易浪费时间)

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

看到检索出39条数据,可以配合灯塔做去重,因为有的域名在线引擎可能会漏掉,只要我们的字典够大,灯塔可能就能有意外收获

漏洞挖掘

访问某设备管理网站,打开后,我心头一惊,这不是我亲爱的若依吗,瞧瞧这UI,这URL

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感
漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

于是乎,二话没说先测试有没有shiro框架,以此达到我心中想要反序列化接管主机的邪恶计划

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

    平常是在登录接口中cookie里面测rememberMe来查看shiro框架,这次竟然没有,还好我装的插件爬到了,在图片验证码处可以获取到,于是乎掏出集成工具开始爆破,奈何命有点苦,就算喝奶茶也苦

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感    看来不得不控制你了啊,我估计是开发配置了随机密钥,或者单独设置了密钥
漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感    一般情况下,有卧龙的地方必有凤雏,很多用若依框架的,还会用:spring boot actuator、swagger-ui、druid服务,以方便管理,跟着抓到的api枚举就行了,这里用插件直接爬,首先看到了swagger
漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

    用swagger-hacker跑了一下全部401,在预料范围内,做鉴权了

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

接着看到durid,我当时预想的是:弱口令进入druid,在session中看一下有效期内的cookie,进入后台,美滋滋,废话不多说,开干

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感
    弱口令没毛病啊,老铁,准备开香槟嗨起来了

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

但是,等我登进去以后,给我拉了坨大了,直接给我错误了,这对吗

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

我真的想骂娘,就是一堆的可能存在漏洞的服务在你面前,你又无可奈何的样子

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

反转来了

这个时候头绪真的一点没有了,因为已知的问题就那些,再看看其它服务吧,不过这个弱口令确实可以交一下,其它服务大部分就是关联到企业微信或者是内部软件之类的,翻来翻去找到一个员工系统

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

这个时候我来捋一下这个系统的逻辑,以此有一个后面漏洞挖掘的思路:仍然是Java程序,无注册接口、登录需要密码,可爆破,尽管有图片验证码,但是没什么用,短信快捷登录发送后可以快爆破验证码,登录接口可枚举账号,账号格式手机号

有了以上逻辑以后,先枚举一下手机号,考虑到员工在本地的可能性很大,所以先枚举本省的手机号,找到本省的手机号段,用python生成9999个手机号,然后爆破

# 获取用户输入的前7位数prefix = input("请输入前7位数:")# 检查前7位数是否为数字if not prefix.isdigit() or len(prefix) != 7:print("输入错误,请输入7位数字。")else:# 打开文件,准备写入    with open("output.txt", "w") as file:# 生成11位数for i in range(1, 10000):# 将i转换为字符串,并在前面补0,使其长度为4位            suffix = str(i).zfill(4)# 将前7位数和后4位数组合起来            number = prefix + suffix# 将生成的11位数写入文件            file.write(number + "n")print("生成完成,结果已保存到output.txt文件中。")

不出意外的:浪费时间加爆破不出来,我就很无语的不爆破了

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

辗转反侧也不知道应该干嘛了,接着上了个厕所,冲马桶的时候脑子瞬间通了,他这个是Java框架啊,一般这种的api接口都很多啊

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感
    有没有可能,很多api都在js里面写着呢,我们提取出了fuzz一遍,可能会有意外收获,啊哈哈哈

此处fuzz不是用dirsearch跑默认字典,由于现在api自定义接口命名,以前的很多字典很难跑出来成果了,跑个备份啥的可能成功,我这里用findsomething提取的,当然了,也可以用jsRoutescan提取,都一样,提取出来以后可以用dirsearch跑一遍,或burp自带的fuzz

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

按照状态码排序一下以此查看,或者包的长度排序都可以

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

开香槟,在/xxx/api/aliyunconfig的接口中看到有oss的ak/sk

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

token有时效性,赶紧掏出来我的oss浏览器冲一波

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

集团内的OSS都在其中,包括bbs、商城、员工系统、售后系统的照片

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

保存了近6年的所有信息,这次可以开香槟了

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

其实我感觉它这个IP应该是存在nacos服务的,但是我是通过域名进行搜集的,也没这么多时间挖了,正常渗透接管oss也就结束了,剩下的像我们可以去挖小程序和APP的漏洞嘛,因为是制造商肯定会有这些,于是乎我就去搜了一下,不过好像没有注册入口

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

于是乎我就去问一下客服,客服竟然不鸟我,难道是被我沉鱼落雁,闭月羞花给弄害羞了?

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

后面确实没时间去挖了,也就点到为止了,总共用了不到一小时,大概四十分钟吧

漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

结语

这篇文章比较水,总体来说还是可以学到东西的,希望各位见谅,有好的思路和想法可以一起来交流,如觉得不错烦请点赞转发哦

原文始发于微信公众号(州弟学安全):漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月15日10:54:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感https://cn-sec.com/archives/3630887.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息