实战|众测挖洞经验分享

admin 2025年5月6日16:55:39评论2 views字数 1081阅读3分36秒阅读模式
前言

一次众测参加的项目,目标是学校,比较简单,打开给的目标文档,全部都是某地区学校的网站,一共1000多个,大部分都是静态页面,没什么测的,先拿扫描器扫一波,然后慢慢手测

反射型xss

反射型xss,扫描器扫出来的,url中p参数的内容输出在a标签双引号里面

实战|众测挖洞经验分享
直接前面加个双引号成功闭合
实战|众测挖洞经验分享
有一些简单的过滤,这里构造个x标签onmousemoves事件
实战|众测挖洞经验分享
移动鼠标触发弹窗
实战|众测挖洞经验分享
通达OA

xss nday

实战|众测挖洞经验分享

sql注入nday

实战|众测挖洞经验分享
学校统一认证系统

还好有一个统一认证,接下来就是想办法找到账号密码

实战|众测挖洞经验分享

在线帮助里写了初始密码为后6位

实战|众测挖洞经验分享
先谷歌语法一波学号
实战|众测挖洞经验分享
实战|众测挖洞经验分享
在忘记密码处试一下,显示无效
实战|众测挖洞经验分享
继续找其他泄露的学号尝试,显示不存在
实战|众测挖洞经验分享
最终还是找到了可以用的学号
实战|众测挖洞经验分享
然后简单的去搜一下就搜到了身份证号,直接登录统一身份认证
实战|众测挖洞经验分享
越权

有个信息维护的功能,这里存在越权

实战|众测挖洞经验分享
直接修改就行
实战|众测挖洞经验分享
直接遍历一波,成功遍历到老师的信息
实战|众测挖洞经验分享
email前面就是工号,拿身份证后六位直接可以登录
实战|众测挖洞经验分享
文件上传XSS

先准备个xss语句的html文件

实战|众测挖洞经验分享
直接上传会403
实战|众测挖洞经验分享
修改后缀为jpg,上传jpg修改content-type也一样
实战|众测挖洞经验分享
刷新一下,他会去访问这个文件路径
实战|众测挖洞经验分享
访问直接执行了js代码
实战|众测挖洞经验分享
sql注入

前端功能点如下

实战|众测挖洞经验分享

原本数据包如下

实战|众测挖洞经验分享
orderType参数存在注入,直接加个逗号,后面可以直接使用if函数,当条件1=1时返回异常
实战|众测挖洞经验分享
当条件1=2时返回正常
实战|众测挖洞经验分享
这里过滤也是比较多,很多函数都不能使用,只能用出我的position函数
asc,if(1=position('a'+in+current_user),exp(900),1)

直接遍历a这个字符即可

实战|众测挖洞经验分享

说明当前用户第一位字符为y

实战|众测挖洞经验分享

遍历第二位

实战|众测挖洞经验分享

第二位为u

实战|众测挖洞经验分享

当我注最后一位的时候死活跑不出来,因为这里无法使用ascii码精确判断,手动试了很多特殊字符也都不对,然后这里可以用hex函数

right函数返回当前用户最右边的1个字符,hex就是十六进制编码asc,if(1=hex(right(current_user,1)),exp(900),1)

跑一遍可以得知最后一位的16进制编码后是25

实战|众测挖洞经验分享

竟然是百分号,因为是url传参,要用%25代替

实战|众测挖洞经验分享
实战|众测挖洞经验分享
其他

剩下的就是最平常的漏洞了,这里就不细说了

实战|众测挖洞经验分享
实战|众测挖洞经验分享

任意用户密码修改,获取验证码,然后随便填

实战|众测挖洞经验分享

直接把验证码置空就行,这里需要逆向一下,把userAccount里的手机号信息修改为别人的手机号即可
实战|众测挖洞经验分享

越权遍历

实战|众测挖洞经验分享
总结

新手还是优先选择众测,比较容易挖到漏洞,对于一些简单的众测,拼手速可能没别人快,可以等这次项目结束再慢慢测,一般都不会只上一次,先挖好,等他再上的时候就可以快速交一波

 

原文始发于微信公众号(Z2O安全攻防):实战|众测挖洞经验分享

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月6日16:55:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战|众测挖洞经验分享https://cn-sec.com/archives/4031245.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息