有一段时间没有写博客了，最近一直在忙着在补天啊，edusrc上挖漏洞，收获还算不错吧。随后又在360参加了第一次众测，定向挖掘漏洞还是挺有意思的，记录一下呗

0X00    我爱js

来到厂商ip段下的某站点，一进去就不对劲，直接就给我弹出后台的界面了，不过啥数据也没有，而且下一面就给我弹回到登录界面了

这么看这个站肯定很好搞吧，登录界面显示的是某某cms，没听说过，先网上搜搜历史漏洞先

找了半天，除了发现几个名字一样的外，就没有个看起来差不多的cms，应该是公司内部自己开发的系统吧

接下来尝试功能点了，试着尝试一下重置admin的密码

用的邮箱验证，admin没设置邮箱，还重置不了，因为有waf的原因，我也不敢爆破用户名，测试sql的话也让容易被wafban掉ip，先放放先

尝试一下登录后台，使用admin admin伪万能密码登录，抓包再放包，观察一下返回的包，发现返回了一个啥也没有的括号

没登录进去，尝试在返回包中添加内容，添加一个1，发现可以跳转到后台

然而在发完这个包以后，我又被弹出到登录界面了

将401修改成200也没啥用，估计是后端对session里的信息进行了检验，没有用户数据时登入后台将会强制弹出

估计还有机会，看看js里有没有啥能够未授权访问的接口，在js里搜索一下url,ajax,path等字段

然而都是

接口不行，那就只能再看看登录的逻辑了吧，结果倒还是有了发现，在登陆的接口这里，首先会判断返回的包中是否有信息，如果没有，则提示错误，如果有的话，就将这些信息写入session中

然后这是在后台检查我们是否登录的那个请求，可以看到他会将此次发包返回的信息与session中存储的信息进行对比，如果不同则强制退出后台，那么，我们是不是只要构造两次返回包，使得满足这些判断条件，我们就能够稳稳的进入后台了呢

试试呗，修改第一个返回包

修改第二个

放包！发现已经能够稳稳地进入后台了

？咋啥都没有，估计是构造的东西不对.....

再看看js吧，在后台我们能看到更多前台看不到的js，说不定有未授权访问的接口呢

然而接口没找到，找到了个更好的东西，重置后的密码，应该是经过加密后的

当时脑袋里灵光一闪，直接奔向登录页面，用admin账号提交抓包，在抓包页面直接用重置密码替换密码

进去了捏，应该能算个弱口令吧，还是算信息泄露？

0X01    小洞小洞

进去了再测测功能点

在邮箱推送里看到了重置密码推送的邮件，所有人重置的密码都是一样的，而登录界面的重置密码只需要输入正确的用户名就会直接发送邮件，所以我们只要知道任意的用户名，就能重置他的密码为该密码，登录他的账号，任意密码重置漏洞+1

这后台的上传功能点挺多，就是限制的死死的，上传脚本语言文件就会被ban，最后只找到了这么一处功能点

在某上传点可以上传xml文件

我们将xml里面的内容替换为后上传

<html><head></head><body><something:script xmlns:something="http://www.w3.org/1999/xhtml"> alert(document.cookie);</something:script></body></html>

再访问上传的文件，就能触发xss，获得cookie，应该也能算个中危吧

0X02    真*峰回路转

屁颠屁颠交洞去咯，熬过了难熬的清明节假日，终于等来了审核上班的日子了，准备领工资咯

？？？？？？？？啥情况

密麻麻石蜡 明明是在该公司ip段下，域名是他们的，里面员工也是他们的，头像也是他们的，合着不是他们的资产是吧，大无语了属于是

推荐阅读：

Burpsuite专题学习指南

干货 | Burpsuite的使用tips总结

干货 | Github安全搬运工 2022年第八期

干货 | Github安全搬运工 2022年第九期

点赞，转发，在看

文章来源：j4m13d's blog

地址：1dopez1andyan.top

作者：j4m13d