从信息泄露到重置任意用户密码 1. 信息泄露1.1 常规测试站点首页注意到搜索框和商品id，尝试SQL注入和XSS，然并卵。 注册需要接收验证码，那测试一下看看有没有短信轰炸啥的。经过测试并发、短信转发、特殊格式绕过、大小写绕过、修改返回值等方法均失败。严格限制在1分钟内1条短信。1.2 无功而返那只能正常注册账户了。注册好后返回前台登录账户进入个人资料界面，头像功能可以上传文件，尝试一下看能不能把恶意文件传上去。经过测试发现把恶意文件的后缀改成图片格式可以储存，改成jsp就返回格式错误，通过fuzz还是不可以。1.3 爆装备闲的无聊翻一翻数据包惊喜就来了。在进入个人资料界面时站点请求用户id然后返回用户信息。果断把这个数据包发送到repeater模块，读取其他id看看是不是我想的那样。 哇～还真是啊！真好玩！果断把数据包发送到intruder模块爆破id值，爆出加上我一共60个账户。 但是泄露的信息只有姓名、手机号和头像这些也没啥用啊。想点办法再让他爆点金币出来。2. 任意用户密码重置2.1 上技术在登陆界面有个忘记密码功能，先按照正常流程重置密码试试。2.2 爆率真的高啊查看一下重置密码的数据包。 哇~爆率真的高啊！数据包中只有新密码、确定新密码和手机号内容，并没有对验证码进行校验这不就爽了吗。只要知道用户的手机号就可以直接任意重置用户密码了！2.3 真好玩通过前面泄露的信息随机挑选出一个幸运儿，利用这个修改密码的数据包重置目标账户，并成功登录到目标账户！

目录遍历导致水务系统被控制 1. 信息收集1.1 目录遍历通过扫描目标发现开放了1000端口访问后发现是目录遍历，通过这个漏洞可以看到在该目录中有一个压缩包通过压缩包文件发现了数据库文件，在文件中发现了管理员账户和密码2. 尝试2.1 遇阻安装好客户端软件，然后再使用Proxifier把软件代理到burp打开软件进行登录，发现其请求地址是本地，判断软件客户端是只在服务器上运行的尝试将地址修改为泄露源代码的地址，然后将上面数据库的用户名密码输入成功登录，但其他数据过不来2.2 转发端口这里想到使用端口转发的方式，将软件客户端发送到本地的10005端口转发到，47.99.119.236的10000端口使用Windows自带的防火墙转发netsh interface portproxy add v4tov4 listenaddress=127.0.0.1 listenport=10005 connectaddress=47.99.119.236 connectport=10000然后重新登录，成功出现数据。该系统泄露500多用户信息，控制两千多个设备任意修改水价、控制居民用水等操作。

短信和邮箱轰炸漏洞总结 1.关于验证码漏洞的几种类型1.1 前端显示这种情况是极为少见的。验证码作为用于鉴别身份的重要方式，没有哪个开发商敢把短信验证码直接显示在前端的。既然都显示在前端那就失去了他的作用，既然这样了为什么不弄个数字图片或者图形验证码来鉴别是否为机器人呢。遇到的一个实例，他就是把验证码直接显示在了前端1.2 响应包显示这种算是前端显示的另一种版本。两者区别就在于前端的可以在网页中直接看到，这种则需要手动查看获取验证码请求后返回的响应包。验证码就会在响应包中被查看到。1.3 验证码转发什么是验证码转发？比如你要注册一个账号需要绑定手机号，正常的逻辑是只输入一个手机号然后获取验证码。但是在这里可以尝试在第一个手机号的末尾处添加一个英文的逗号然后再填入一个手机号或者用同样的方式无限制添加手机号。当点击获取验证码按钮后，不光第一个手机号可以收到验证码，刚刚在后面添加的其他的手机号也能接收到验证码。且每个手机号获取到的验证码内容都会一模一样。1.4 篡改接收验证码的手机号这种情况是验证码转发的另一种版本。两者区别在于验证码转发可以在请求前操作，这种则需要请求后操作。举个例子，在找回密码处给账号绑定的手机号发送获取验证码的请求时拦截数据包，这时在请求包中会显示账号绑定的手机号，现在把账号绑定的手机号更换成攻击者的手机号。由于系统默认还是在找回密码中输入的账号绑定的手机号，这样就可以劫持验证码，达到重置密码的效果。1.5 自定义验证码内容举一个抖音海外版的例子，在TikTok的网站上，有一项功能可以让用户向自己发送SMS短信以下载该应用程序，这也就造成了TikTok可以将SMS短信发送到任何电话号码。攻击者向受害者发送SMS消息时拦截请求。该参数中包含了受害者的手机号和下载链接正常获取的到短信样子当攻击者修改DOWNLOAD_URL参数后向受害者发送短信，则受害者收到的短信中的链接就会变成攻击者修改后的链接1.6 验证码可爆破服务端未对验证时间、次数作出限制，存在爆破的可能性。简单的系统存在可以直接爆破的可能性，但做过一些防护的系统还得进行一些绕过才能进行爆破。对于4位纯数字验证码：从0000~9999有10000种可能，使用多线程在5分钟内跑完并不是很难。对于6位纯数字验证码：从000000~999999有1000000种可能，单从爆破时间上来看就比4位数的多100倍。1.7 验证码重复使用验证码重复使用简单的说就是你使用的验证码在登陆完成后，验证码不会失去效果再次去登录时，使用该验证码任然有效。2. 绕过发送限制造成轰炸效果2.1 并发绕过什么是并发？拿淘宝双11举例子，假设活动开始是9点整，由于用户在这之前购物车内的东西都准备好了就等时间一到就立马下单，那么到了9点突然一大堆用户全都点了付款按钮。简单的来说就是同一时间内大量的数据涌入这就是并发。有的网站性能没有处理的好就会造成这种情况，并发的次数越大轰炸的次数越多。2.2 特殊格式绕过假如参数是这样的：mobile=13111111111，且每个手机号只能获取一次验证码。这时可以利用空格来绕过限制，在手机号的前面或者末尾每增加一个空格系统就会认为是一个新的手机号。请求有GET和POST方式，对于GET请求方式需要把空格进行URL编码（%20），POST的请求大多数情况可以直接加空格。除了空格还有86、086、0086、+86、0、00、/r、/n以及特殊符号等。2.3 利用大小写绕过前面说到了关于加空格的绕过限制，但还有一种方式可以绕过邮箱轰炸限制，那就是通过修改大小写，通过修改邮箱后面字母的大小写就可绕过限制，假如参数是这样的：Email=123@qq.com 当次数达到限制时，随便修改一个字母为大写：Email=123@Qq.com就可绕过限制。2.4 调用接口绕过比如这样的参数：terminal=01&mobile=13111111111，前面的接口是调用短信发送内容的接口，比如terminal参数值为01是调用注册成功的短信提示，02是调用密码重置成功的短信提示，03是调用注册成功的短信提示等等，当修改这个接口值时，也就达到了短信轰炸或邮箱轰炸的目的。还有另一种情况就是无效验证。什么是无效验证？有的站点要求输入正确图形验证码才可以获取到信息。有的站点验证码形同虚设随便输入字符就可以通过、有的验证码可以重复使用。还有的就是输入验证码后直接调用接口发送，以上两种情况可以直接利用成功发送验证码的数据包发送到bp的intruder模块，payload设置为空字符大批量发包2.5 修改IP绕过有些是验证当前IP的，如果当前IP短时间内获取短信或邮件频繁或者达到一定次数的话就会出现限制，那么就可以利用修改IP或者代理IP来进行绕过限制。2.6 修改返回值绕过比如发送成功后返回值是success，发送失败的返回值是error，那么当达到次数后，可以通过修改返回值为正确的返回值：success，从而绕过限制，达到发送成功的目的。2.7 修改Cookie值绕过有些可能不是直接验证手机号来判断次数，而是验证当前Cookie，利用当前Cookie来进行验证发送次数的话，很容易造成绕过，这里如果验证的不是登录状态的Cookie而是普通状态下的Cookie的话就可以通过修改Cookie达到绕过验证。3. 短信和邮箱轰所引发的其他危害3.1 爆破潜在用户比如在注册处输入手机号或邮箱，它会判断该手机号或邮箱是否存在，如果存在返回通过并执行下一步的操作，如果不存在就返回不存在的信息提示，那么在这里可以批量进行爆破潜在的用户已经注册过的手机号或邮箱号，然后可被利用来进行撞库！

踩着先人的足迹一路高歌猛进 1. 反序列化1.2 梭哈站点首页登录框尝试弱口令和sql注入都没有漏洞，在查看bp时发现有个数据包中有remeberMe字样。1.2 梭哈是一种智慧反序列化的特征啊，工具直接梭哈尝试打入内存马时候出了问题，无论任何办法都打不进去2. 仙人指路2.1 转变思路转换想法，既然可以执行命令，那就尝试一下用echo写入木马试试。首先需要通过搜索网页的特有文件来确定站点目录。cd转到目标目录下，ls查看一下站点目录里都有啥，看到111.jsp、1.jsp、2.jsp就立马感觉不对，有先人很早之前打过2.2 仙人指路查看一下111.jsp的内容还是仙人好啊做了一个上传口。尝试通过仙人的上传口上传恶意文件发现传不上去那再看看另外两个文件是什么内容。查看1.jsp文件看到一串乱码立马就知道是冰蝎的木马不过后面尝试了一下密码不是默认密码查看2.jsp文件内容发现也是冰蝎的木马，经过尝试是默认密码在其他目录里面还有仙人留下的fscan记录，直接被带飞。

通过sql注入拿下站点 1. 爆装备1.1 SQL注入漏洞站点首页发现首页有试乘试驾预约功能，输入常规内容跳出弹窗说明功能正常尝试在姓名栏中填入单引号，提交后出现报错界面呕吼，有报错，有戏。重新抓取提交信息的数据包，经过测试发现chexing、name、phone参数都存在报错出现报错信息这一看就是sql注入漏洞啊，直接复制数据包通过sqlmap验证sqlmap.py -r 文件 -p name -dbs --risk=3 --level=51.2 查表查询jynhqc_db中的表sqlmap.py -r 文件 -D jynhqc_db -tables -dbs1.3 查列查询web_admin表中的列sqlmap.py -r 文件 -p name -D jynhqc_db -T web_admin -columns -dbs1.4 查字段查询a_user，a_name，a_psw的内容sqlmap.py -r 文件 -p name -D jynhqc_db -T web_admin -C a_user,a_name,a_psw -dump2. 进入后台2.1 多处漏洞到这个地方就已经知道了管理员账号和密码，不过还需要知道站点的后台地址。后面通过目录爆破知道了后台地址，并成功登录到后台在后台发现有网站还有在线留言功能，看到这个页面和试乘试驾预约功能页面一模一样，推断这个功能一样存在漏洞。在前台找到在线留言功能，经过测试发现在线留言的name、iphone、email、company、content参数都存在注入漏洞在首页的下属企业进入页面后选择试乘试驾同样都存在漏洞至此这个站点前台的注入漏洞都找完了，那开始找后台的注入点……不想写了后台到处都是注入点，可以说随便点一下都是sql注入漏洞