找到
30
篇与
学习笔记
相关的结果
- 第 3 页
-
对目标企业一个全面的渗透过程 常规测试 站点首页 企业官网,没啥可打的。Ping域名得到ip,扫描端口只开了80和443。那就打子域名吧。 存储桶目录遍历 通过信息收集,找到了两个存储桶,都可以目录遍历,其中crms泄露了39份文件,huyonguangfu泄露了44万份。 存储桶文件上传 通过尝试名为crms的存储桶可以上传文件。 Nacos弱口令 在无意之间遇到3个站,首页是这样。 原本想试着放bp里爆破账号密码的,出于习惯顺手查看一下插件有没有出货啥的。这一看果然还真爆装备了。 看到nacos的密码就知道是默认的,直接反手登录到nacos 翻了一下还存在其他账户,不过已经有一个账户了其他的都无所谓了。 多个漏洞 通过检测还存在其他类型漏洞 存储桶接管 查看了一下dassolarprod继续爆装备,配置中写了华为的ak、sk。 我直接接管好吧。查看了一下内容,接管到就是文章一开始提到的存储桶。 jboss多个漏洞 这个站,存在jboss的反序列化、代码执行、未授权访问漏洞 最后一个弱口令 最后还有一个弱口令
-
另类打法思路 突破 站点首页 首先得知目标站点存在sql注入漏洞 找目标 打进数据库就是为了账户和密码,一开始我查看一下相关的库,但都不是我想要的。实在是不想一个一个翻直接一键dump。 把最终的扫描结果全部复制另存到一个txt中,手动搜索。 然后在yx_person表中找到了所有账户和密码。 下面是整理好后部分数据的样子。其中md5值:2e3216787eaf07e818cb27135352e8b8解密后是:666666,有了手机号和密码那就直接登录吧。 网页不允许登录,看来对地域有限制。尝试修改请求包中的ip和响应包内容,发包后还是会提示这个。去产品官网瞅瞅,说不定有意外收获啥的。 峰回路转 果然,提供app的登录方式,果断下载软件和模拟器。 环境一切安排妥当后直接成功登录的目标账号。但是这个账号权限太低了,没法玩。 爆装备 重新查看sqlmap返回的信息,意外发现有两个表爆装备。 第一个:yx_sys_verifycode,第二个:yx_sms_sendrecords。 这两个表用来记录短信内容,例如验证码登录、重置密码。第二个表中记录的更加详细,短信中的每个字都记录的一清二楚,不光包含验证码信息,还包含了修改后的密码信息。我直接在这里表里面找权限高的账户。 通过和yx_person表中的职位匹配还真找到一个管理员账户密码。 但只是一个二级管理员,没啥玩头。 奇思妙想 重新回看yx_sms_sendrecords表,他记录的信息中还包含短信验证码的发送时间,那我是不是可以重置最高管理员的密码,然后从数据库里查看发送的短信验证码,这样就可以通过身份验证从而重置密码了,逝一下。 输入管理员手机号、图形验证,最后获取验证码。页面提示验证码已发送,但是读取yx_sms_sendrecords表后发现并没有短信记录,看来这张表只记录成功被使用的验证码和修改密码后的短信提示。
-
利用file协议干掉七十六个站 两眼一黑 站点首页 这个站点因为后端出了问题,导致站点废了。任何功能都无法使用,想注册账号都不行。转换思路,打旁站。 眼前一亮 ping域名获取到目标ip,获取到ip直接探测他开启了哪些端口。 爽啦!开这么多端口,不打你,打谁? 挨个打开,有没有任何服务的,有经过测试没有弱口令的……其中一个服务引起了我的注意。 反射型XSS 访问后没有任何上传的地方,那只能测试kkFileView其他历史漏洞了。 经过测试存在XSS和任意文件读取漏洞 利用file协议大杀四方 好玩的就来了,这个洞是使用的是file协议,那就可以列举目录啊,直接列举根服务器目录。 按照经验,用户都喜欢把文件放在home、www、wwwroot、var文件夹下,逐个查看。 逐个查看后发现用户把所有的文件都放在了/www/wwwroot文件下,并且文件夹名写的都非常明确,直接亮出了域名。 直接挨个进目标文件夹找配置文件,最终76个站点文件夹翻出来了34个备份文件、3个系统管理员账户、4个存储桶、5个数据库,收获满满啊。
-
商城主动给我0元购资格 常规测试 首页 这是一个购物的小程序,那我们就冲着0元购目的打。 首先看到数据包中有商城的地址,那就试试看后台有没有弱口令吧。 字典都跑完了没有爆破出弱口令账户。还是测试功能点吧。 并发 挨个测试那就先测试签到功能吧,目前是0积分。 把bp的拦截功能打开,拦截签到的数据包,然后转发到intruder模块。把payloads设置为Null payloads,并选择无限循环。 再新建一个并发999的资源池,发包。 成功了两个请求,获得了10积分。 0元购 接下来测试余额功能,点进去后有一个充值按钮。 点击后是充值界面,那就充个0.01吧。点击立即充值按钮后,会产生两个数据包。第一个数据包是充值的申请,第二个数据包每隔5秒检测该请求是否已支付状态。如果关闭了付款二维码则会返回第三个支付失败的数据包。 其中在第一个数据包中包含了支付金额、用户id和用户token。 既然显示了金额,那我能不能填写0.01然后扫码支付0.01后拦截他的数据包把0.01改成想要的数字呢?我看刑试一试。扫码支付0.01后拦截他的数据包人就傻了,数据包被加密了,改不了。 再回头看数据包这个planId是干嘛用的?不甘心再试试,再充个0.01点击立即充值然后拦截该数据包把planId=0修改成planId=1看看是什么效果。 放包后扫描二维码成功支付0.01,再返回钱包你猜怎么着,多了10元。 看看充值记录是什么情况。用0.01充10.01足足1001倍啊,爆率真的高。那我要是把planId=0修改成planId=2又是什么样的效果呢。 填写0.01点击立即充值,拦截数据包把planId=0修改成planId=2然后放包扫码支付后,回到钱包还是用0.01充10.01 多次尝试后发现当planId改为4时则会返回充值套餐不存在的提示。 到这里我就明白了,当planId=0时是正常的充值,而1、2、3则有可能是小程序在开发时用来测试用的,小程序上线后这个测试的充值套餐没有被删除。(题外话:这种功能常用于在搞活动的时候用到,比如充值500送200这样的活动。) 好多优惠券 ok接下来该轮到测试优惠劵了,点击领券中心,只有一个满1元减0.01的券。 点击领取后,查看一下数据包好玩的就来了。数据包中包含优惠券的id、用户id和用户token 盲猜和充值一个逻辑,直接把数据包转发到intruder模块。把coupon_id参数设置为变量,payloads设置为数值,数字范围从0到100 一共成功领取了12张优惠券 水平越权 最后再测试一下个人信息界面吧。头像处经过尝试发现限制非常死,恶意文件上传不上去。上传正常图片后点击保存按钮,在数据包中就发现好玩的了。数据包中有图片的id。 数据包转发到repeater模块尝试把图片id改成1试试。 发现我的头像变了。 再改成2试试。
