No.0
起因
我和女朋友已经在一起五年了,最近刚见完家长,未来老丈人对我很不满...
或许是因为从事安全行业的我整天忙东忙西到处出差没空陪她、或许是因为他没从我身上看到任何值得托付的点。
总而言之,就是很不满意,大家坐一伙吃饭的时候,气氛很尴尬小羽还想着说两句来缓解下气氛的,却被老丈人一下子呵斥回去了,最后我俩只能灰溜溜的走了。
这事儿就像鱼刺入喉般卡在我心里好长一段时间,因为我真的很喜欢小羽,我想和她结婚,也不想让她家里人难办...
终于在某一天和女友的闲聊中,发现老丈人好像对兔子与漂亮国紧张的局势持有不少关注,并且也从他的朋友圈中看出对漂亮的不满和唾弃。
我想,我机会来了,我是不是可以借此展现一下我的能力,给未来老丈人解口恶气,从而抱得美人归?
说干就干,在一番调研后,我选择了(NASA)为目标进行渗透。
No.1
属于 NASA 下面的资产主要有四个域名,分别为 nasa.gov、usgeo.gov、scijinks.gov 和 globe.gov。
nasa.gov 域名下大多数站点是用来提供官方门户及其相关数据、影像和 API 服务信息的。
而 usgeo.gov 则是美国民用地球观测子委员会(USGEO)的协调与评估平台,用于联邦地球观测数据的规划、管理与国际协作。
scijinks.gov 面向青少年的气象与地球科学科普网站,提供互动学习内容
最后 globe.gov 是“全球学习与观测促进环境”(GLOBE)项目的门户,用于支持学校与公众参与环境监测和公民科学实践。
简单分析下了之后,发现 scijinks.gov 和 globe.gov 更容易存在漏洞
因为这俩平台与大众(nasa.gov 和 usgeo.gov 面向的是研究者,而 scijinks.gov 和 globe.gov 面向青少年、学生)离的近一些,会存在更多的数据交互,同时也会存储更多个人的信息而不是我们不感兴趣的某项研究的数据集...
当目标确定放在 scijinks.gov 和 globe.gov 上面的时候,我开始去收集该域名的更多的资产。
使用 oneforall.py 脚本进行信息收集,发现 scijinks.gov 的资产少得可怜,目标再度转为 globe.gov。
所幸的是,globe.gov 的资产还挺多的,足够我们进行下一步的尝试。
No.2
尝试与分析
在逐个访问 globe.gov 资产的过程中,我选择把重心放在页面老旧、允许登录注册、存在更多交互的站点。
终于,让我发现了一个有意思的端点 /myobservations/?userid=13123123,该端点允许根据我提供的 userid 来返回对应账户的用户名。
用稍稍专业点的术语来讲,这叫 “用户名枚举” ,虽然说危害不大,但如果能够结合其他 “小问题”,或许能酿成一个大问题?
想到这里,我不由得兴奋起来,仿佛已经能看到身披洁白华丽婚纱的她从我身后缓缓走来,轻轻地拍了拍我的肩膀。
我转过身,她的嫣然一笑让我不禁鼻头一酸,脑海浮现起往日许下的诸多承诺却说不出口...我不敢看她,眼泪却止不住地掉。
等我回过神来,泪水已经沾湿了键盘,我紧急检查了下 Ctrl 键、C 键 和 V 键,还好没有坏,赶紧拿纸巾擦一下继续做事了。
在知道这个站点里存在用户名枚举后,第一反应就是去找挖掘更多的接口
尝试去给所有的请求加上这两个参数,看是否会有没有能够越权到别人账号的意外之喜。
想象很美好,可现实却很骨感,在无数的尝试过程中,我没有发现任何可以利用的点,站点返回的结果没一个是我想要的。
我甚至拿着这两个参数去尝试了 globe.gov 域名下的其他站点(猜测它们存储用户信息的数据库用的是同一个),也毫无收获。
没办法,只能另寻出路....想想看,这个站点的名称里有个 visual,说明主要是用来数据可视化的,那会不会存在有 SQL 注入呢?
于是,又开始进入漫长的手工测试环节,终于在我第 n 次尝试之后,页面显示出了一点奇怪的变化!!!
二话不说直接上手 sqlmap,看看是怎么个事...
成功了!!!谢天谢地,我终于能够获取这个站点的数据库权限了...为了不打草惊蛇,我决定暂时先不进行下一步操作,留下一些机会下次再表现。
No.3
后续
当老丈人得知我的 “丰功伟绩” 后对我刮目相看,之前的我在他眼里,是一个没有前途的牛马,现在是一个有手艺的牛马,虽然没立马答应吧小羽嫁给我,但态度上有了明显的缓和,我的爱情之路又进了一步。
No.4
原文始发于微信公众号(隐雾安全):为了爱情,我决定入侵 NASA
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论