另类打法思路 1. 传统打法1.1 突破站点首页首先得知目标站点存在sql注入漏洞1.2 找目标打进数据库就是为了账户和密码，一开始我查看一下相关的库，但都不是我想要的。实在是不想一个一个翻直接一键dump。把最终的扫描结果全部复制另存到一个txt中，手动搜索。然后在yx_person表中找到了所有账户和密码。下面是整理好后部分数据的样子。其中md5值：2e3216787eaf07e818cb27135352e8b8解密后是：666666，有了手机号和密码那就直接登录吧。网页不允许登录，看来对地域有限制。尝试修改请求包中的ip和响应包内容，发包后还是会提示这个。去产品官网瞅瞅，说不定有意外收获啥的。1.3 峰回路转果然，提供app的登录方式，果断下载软件和模拟器。环境一切安排妥当后直接成功登录的目标账号。但是这个账号权限太低了，没法玩。2. 突破传统2.1 爆装备重新查看sqlmap返回的信息，意外发现有两个表爆装备。第一个：yx_sys_verifycode，第二个：yx_sms_sendrecords。这两个表用来记录短信内容，例如验证码登录、重置密码。第二个表中记录的更加详细，短信中的每个字都记录的一清二楚，不光包含验证码信息，还包含了修改后的密码信息。我直接在这里表里面找权限高的账户。通过和yx_person表中的职位匹配还真找到一个管理员账户密码。但只是一个二级管理员，没啥玩头。2.2 奇思妙想重新回看yx_sms_sendrecords表，他记录的信息中还包含短信验证码的发送时间，那我是不是可以重置最高管理员的密码，然后从数据库里查看发送的短信验证码，这样就可以通过身份验证从而重置密码了，逝一下。输入管理员手机号、图形验证，最后获取验证码。页面提示验证码已发送，但是读取yx_sms_sendrecords表后发现并没有短信记录，看来这张表只记录成功被使用的验证码和修改密码后的短信提示。

利用file协议干掉七十六个站 1. 摸索1.1 两眼一黑站点首页这个站点因为后端出了问题，导致站点废了。任何功能都无法使用，想注册账号都不行。转换思路，打旁站。1.2 眼前一亮ping域名获取到目标ip，获取到ip直接探测他开启了哪些端口。爽啦！开这么多端口，不打你，打谁？挨个打开，有没有任何服务的，有经过测试没有弱口令的……其中一个服务引起了我的注意。1.3 反射型XSS访问后没有任何上传的地方，那只能测试kkFileView其他历史漏洞了。经过测试存在XSS和任意文件读取漏洞2. 超级大爆炸2.1 利用file协议大杀四方好玩的就来了，这个洞是使用的是file协议，那就可以列举目录啊，直接列举根服务器目录。按照经验，用户都喜欢把文件放在home、www、wwwroot、var文件夹下，逐个查看。逐个查看后发现用户把所有的文件都放在了/www/wwwroot文件下，并且文件夹名写的都非常明确，直接亮出了域名。直接挨个进目标文件夹找配置文件，最终76个站点文件夹翻出来了34个备份文件、3个系统管理员账户、4个存储桶、5个数据库，收获满满啊。

商城主动给我0元购资格 1. 常规测试首页这是一个购物的小程序，那我们就冲着0元购目的打。首先看到数据包中有商城的地址，那就试试看后台有没有弱口令吧。字典都跑完了没有爆破出弱口令账户。还是测试功能点吧。2. 并发挨个测试那就先测试签到功能吧，目前是0积分。把bp的拦截功能打开，拦截签到的数据包，然后转发到intruder模块。把payloads设置为Null payloads，并选择无限循环。再新建一个并发999的资源池，发包。成功了两个请求，获得了10积分。3. 0元购接下来测试余额功能，点进去后有一个充值按钮。点击后是充值界面，那就充个0.01吧。点击立即充值按钮后，会产生两个数据包。第一个数据包是充值的申请，第二个数据包每隔5秒检测该请求是否已支付状态。如果关闭了付款二维码则会返回第三个支付失败的数据包。其中在第一个数据包中包含了支付金额、用户id和用户token。既然显示了金额，那我能不能填写0.01然后扫码支付0.01后拦截他的数据包把0.01改成想要的数字呢？我看刑试一试。扫码支付0.01后拦截他的数据包人就傻了，数据包被加密了，改不了。再回头看数据包这个planId是干嘛用的？不甘心再试试，再充个0.01点击立即充值然后拦截该数据包把planId=0修改成planId=1看看是什么效果。放包后扫描二维码成功支付0.01，再返回钱包你猜怎么着，多了10元。看看充值记录是什么情况。用0.01充10.01足足1001倍啊，爆率真的高。那我要是把planId=0修改成planId=2又是什么样的效果呢。填写0.01点击立即充值，拦截数据包把planId=0修改成planId=2然后放包扫码支付后，回到钱包还是用0.01充10.01多次尝试后发现当planId改为4时则会返回充值套餐不存在的提示。到这里我就明白了，当planId=0时是正常的充值，而1、2、3则有可能是小程序在开发时用来测试用的，小程序上线后这个测试的充值套餐没有被删除。（题外话：这种功能常用于在搞活动的时候用到，比如充值500送200这样的活动。）4. 好多优惠券ok接下来该轮到测试优惠劵了，点击领券中心，只有一个满1元减0.01的券。点击领取后，查看一下数据包好玩的就来了。数据包中包含优惠券的id、用户id和用户token盲猜和充值一个逻辑，直接把数据包转发到intruder模块。把coupon_id参数设置为变量，payloads设置为数值，数字范围从0到100一共成功领取了12张优惠券5. 水平越权最后再测试一下个人信息界面吧。头像处经过尝试发现限制非常死，恶意文件上传不上去。上传正常图片后点击保存按钮，在数据包中就发现好玩的了。数据包中有图片的id。数据包转发到repeater模块尝试把图片id改成1试试。发现我的头像变了。再改成2试试。

阿里云OSS存储攻击总结 1. Bucket目录遍历漏洞1.1 漏洞环境搭建首先登录阿里云，然后依次选择产品-存储-对象存储OSS进入后可以免费开通，点击开通就好了。因为我已经开通过了，所以没有免费开通的按钮，我这边点击管理控制台。进入功能后创建存储桶，其中读写权限设置为公共读，然后点击完成创建。在此时如果选择公有读的话，会出现两种情况：读写权限单纯设置为公有读或公共读写的情况下，是无法列出对象的。列出对象，需要在Bucket授权策略中设置：只读(包含ListObject操作)。具体设置看漏洞复现1.2 情况1漏洞复现创建完后点击刚刚创建的存储桶-文件列表，即可管理存储桶中的文件。点击上传文件按钮，上传测试文件。访问存储桶时发现没有列举刚刚上传的文件。由于我们刚刚把文件上传的地方在根目录下，所以在域名后面加上文件名（文件名区分大小写）即可下载到文件。1.3 情况2漏洞复现依次点击刚刚创建的存储桶-Bucket授权策略-新增授权-只读(包含ListObject操作)。访问存储桶时发现列举了刚刚上传的文件，并且访问文件同样可以下载到文件。2. Bucket任意文件上传与文件覆盖漏洞2.1 漏洞环境搭建依次点击刚刚创建的存储桶-读写权限-公共读写（这一步可以设置也可以不设置，设置了可以更直观的展现任意文件上传的效果）依次点击刚刚创建的存储桶-Bucket授权策略-新增授权-只读(包含ListObject操作)。2.2 任意文件上传漏洞复现使用bp通过PUT方式上传一个名为1.txt，内容为1的文件到存储桶中。访问存储桶时发现列举了刚刚上传的文件。并且文件内容一模一样，也可以下载到文件。2.3 文件覆盖漏洞复现使用bp通过PUT方式上传一个名为1.txt，内容改为2的文件到存储桶中。访问存储桶时发现列举了刚刚上传的文件。原来1.txt的内容为1，通过重新上传后文件内容被修改为了2。3. 阿里AccessKeyId、SecretAccessKey泄露漏洞3.1 漏洞描述AccessKey是阿里云提供给用户的永久访问凭据，包括AccessKey ID和AccessKey Secret两部分。AccessKey ID用于标识用户，AccessKey Secret用于验证用户的密钥，主要用于程序方式调用云服务API12345。用户可以为阿里云账号和RAM用户创建一个访问密钥（AccessKey）1245。在调用阿里云API时您需要使用AccessKey完成身份验证1235。3.2 漏洞复现泄露的地方有很多例如：反编译安装包，找到泄露的Key。网站的源代码、js、heapdump中找到泄露的Key。GitHub等开源平台中的源代码可发现存在泄露的Key。这里用我自己的作为示例，假设我的AccessKeyId、SecretAccessKey在某处泄露了攻击者就可以通过工具接管到目标存储桶。4. Bucket爆破漏洞4.1 漏洞描述当不知道存储桶名称时，可以通过爆破获得存储桶名称。这有些类似于目录爆破，只不过目录爆破一般通过状态码判断，而这个通过页面的内容判断。对于阿里云OSS不存在有两种返回情况，分别是InvalidBucketName和NoSuchBucket。存储桶地址：样例：https://qazzaq.oss-cn-beijing.aliyuncs.com/ 解释：https://存储桶名称.存储桶地址.aliyuncs.com/4.2 漏洞复现NoSuchBucket：表示没有这个存储桶。InvalidBucketName：表示存储桶的名称不符合规范，属于无效的存储桶名称。当存储桶存在时，则会返回以下两种情况：5. Bucket接管漏洞5.1 漏洞描述在阿里云下，当存储桶显示NoSuchBucket说明是可以接管的，如果显示AccessDenied则不行。5.2 漏洞复现假设管理员通过域名解析并绑定了一个存储桶，但是管理员将存储桶删除后，没有将域名解析的CNAME删除，这时会访问域名就会出现NoSuchBucket。因此可以登录自己的阿里云账号，创建同样的存储桶即可。6. Bucket特定策略漏洞6.1 漏洞描述特定的策略配置的指的是，管理员设置了特定的IP、UA才可以请求该存储桶。此时如果错误的配置了GetBucketPolicy，可导致攻击者获取策略配置。6.2 漏洞复现访问目标发现没有权限。查看一下存储桶设置的访问策略，可以看到需要符合UserAgent为UzJu才可以访问。回到bp把UserAgent参数修改为UzJu，即可获取到数据。7. Bucket策略配置可写漏洞7.1 漏洞描述当策略可写的时候，可以把原本不能访问到的数据设置为可访问从而获得敏感数据。7.2 漏洞复现当我们访问存储桶的时候，会提示我们已经被policy拦截。如果策略可写时，把Effect中的Deny更改为Allow即可。随后使用PUT方法上传。此时就可以访问到存储桶中的信息了。8. Bucket修改策略导致网站瘫痪漏洞8.1 漏洞描述当策略可写的时候，除了上面的将可原本不可访问的数据设置为可访问从而获得敏感数据外，如果目标网站引用了资源文件，而且我们可以对该策略进行读写的话，也可以将原本可访问的资源权限设置为不可访问，这样就会导致网站瘫痪了。8.2 漏洞复现这是站点正常的样子。如果可以修改策略，只需要将获取该对象的权限修改为Deny，该网站就无法获取到图片、JS等信息了。修改后站点已无法获取到信息。

BurpSuite抓取微信小程序数据包 1. 配置端口首先启动BurpSuite，然后点击设置按钮。自定义设置ip和端口，我这里设置的ip是127.0.0.1，端口是80802. 下载证书设置好后到浏览器把代理地址设置为上一步中的ip和端口，然后访问下面地址，点击CA Certificate按钮下载证书。http://burp3. 安装证书双击证书，点击安装证书进行安装。选择本地计算机，然后下一步。点击将所有的证书都放入下列存储，选择受信任的根证书颁发机构，然后点击下一步。点击完成按钮。安装完成4. 配置代理打开电脑的设置，搜索代理，选择第一个选项。打开使用代理服务器，并把ip和端口号设置成BurpSuite中设置的ip和端口，然后点击保存。5. 成功抓到数据包打开小程序后BurpSuite成功接收到数据包。