一次众测参加的项目,目标是学校,比较简单,打开给的目标文档,全部都是某地区学校的网站,一共1000多个,大部分都是静态页面,没什么测的,先拿扫描器扫一波,然后慢慢手测
反射型xss,扫描器扫出来的,url中p参数的内容输出在a标签双引号里面
xss nday
sql注入nday
还好有一个统一认证,接下来就是想办法找到账号密码
在线帮助里写了初始密码为后6位
有个信息维护的功能,这里存在越权
先准备个xss语句的html文件
前端功能点如下
原本数据包如下
asc,if(1=position('a'+in+current_user),exp(900),1)
直接遍历a这个字符即可
说明当前用户第一位字符为y
遍历第二位
第二位为u
当我注最后一位的时候死活跑不出来,因为这里无法使用ascii码精确判断,手动试了很多特殊字符也都不对,然后这里可以用hex函数
right函数返回当前用户最右边的1个字符,hex就是十六进制编码
asc,if(1=hex(right(current_user,1)),exp(900),1)
跑一遍可以得知最后一位的16进制编码后是25
竟然是百分号,因为是url传参,要用%25代替
剩下的就是最平常的漏洞了,这里就不细说了
任意用户密码修改,获取验证码,然后随便填
越权遍历
新手还是优先选择众测,比较容易挖到漏洞,对于一些简单的众测,拼手速可能没别人快,可以等这次项目结束再慢慢测,一般都不会只上一次,先挖好,等他再上的时候就可以快速交一波
原文始发于微信公众号(Z2O安全攻防):实战|众测挖洞经验分享
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论