找到
15
篇与
渗透实纪
相关的结果
-
逻辑漏洞逻辑漏洞还是逻辑漏洞 第一个逻辑漏洞 目标菜单栏中只有这个一可以打,其他的都是文章链接 进入小程序第一步注册账号,头像处可以测试上传。 通过测试只能上传图片类型的后缀,其他的全都不行,下一个 修改个人信息的数据包引起了我的注意,它不是通过cookie来判断用户,而是openid,明摆着的越权漏洞 ok知道了逻辑,重新注册一个账号。把新账号的openid填进去然后发包 刷新账号的个人信息,信息被篡改了,第一个逻辑漏洞到手 第二个逻辑漏洞 返回到我的界面,然后重新进入个人信息界面时查询用户信息的数据包再次引起了我的注意。它也是通过openid来查询用户数据的,返回的数据包含姓名、手机号、身份证号、邮箱、账号、密码、openid。 直接填入新账号的openid,成功返回刚刚修改的信息。第二个逻辑漏洞到手 第三、四个逻辑漏洞 来到首页,测试志愿者注册功能点 有验证码功能,那测试一下有没有短信轰炸啥的。 通过测试只有短信转发漏洞,卡1卡2接收到的验证码都一样。第三个逻辑漏洞到手 另外提一嘴,注册志愿者也是通过openid来辨别身份的,我可以让任意一个人成为志愿者,算是第四个逻辑漏洞 信息泄露 接下来测试自主查询功能点,志愿者查询功能没啥可测的,重点在于志愿队伍查询 问题来了,怎么获取队伍名呢?这个可以在志愿队伍功能中查看到 输入获取到的队伍名,成功查询到队伍信息,同时还查询到队长姓名、手机号、身份证号、邮箱、账号、密码、openid 弱口令 小程序测试完成,开始测试web端 登录框没啥好说的,逐一尝试sql、接口、弱口令,最后弱口令成功进入后台 在用户管理功能中共计2513条个人信息,内容包含姓名、手机号、身份证号、邮箱、openid 泄露的openid结合上面的漏洞进行操作妥妥的乱杀 存储型XSS 在后台的的活动管理功能处,发现站点使用的是UEditor编辑器。这个网站是php的所以没办法通过编辑器getshell,只能造成一个存储型XSS 众所周知需要鉴权的漏洞分数都不会太高,所以现在要找到这个编辑的demo。demo不需要鉴权就能使用,造成的存储型XSS分值就会高。怎么找呢?非常简单用编辑器随便上传一张图片,在请求包中就可以看到路径 拼接一下地址就可以访问到编辑器的demo了 存储型XSS漏洞过程就不演示了,自行百度复现
-
姜太公钓鱼 寻找目标 上次写了一篇关于谷歌黑语法的文章,恰好这几天有闲时间索性就随便摸一摸。 这次找有sql注入的目标,直接一个inurl:?id= intext:公司,资产这不就来了。 逐个对这些目标进行测试。其实就是在参数后面加单引号,如果有报错就细测。弄到管理员密码就到后台找其他漏洞,就这样成功了好几个。直到遇到这个资产。 两个站 复制链接丢进bp浏览器访问时发现是另一个界面。使用http访问的是第一张图的站点,https访问的是第二张图的站点,奇怪太奇怪了。那就分开测试吧。 HTTP站点 按部就班 首先通过谷歌黑语法找到注入点:http://127.0.0.1/information.php?id=28,尝试参数后面加上一个单引号页面中的内容就消失了。 这一看就有注入啊,直接丢给sqlmap处理。 后面也都知道的,找管理员账户和配置文件看看有什么敏感信息啥的。不过最后只有管理员账号和密码有用。 既然知道了管理员账户和密码那就开始找后台吧。后续把我所有字典全都跑完了都没找到后台地址,这不就废了吗光有密码找不到入口。 那不行,不能让我时间白白浪费了。继续在找找看有没有其他的漏洞再利用一下。 用rad爬取整个站点链接,然后去掉没用链接。 在爬取的目录中有编辑器路径,后续尝试爆破目录同样没有任何反应遂放弃。 姜太公钓鱼 接下来着重对有参数的id进行测试,果不其然在其中一条链接存在反射型XSS,有XSS就好说了直接钓鱼。 http://127.0.0.1/news.php?a=bexc3&begindate=w3o77&c=x83k5&categoryid=zk5y7&email=t6h89&emailto=n3ai1&id=<script>alert('XSS')</script>&item=x3591&jsonp=d9z06&keyword=vkkv5&l=y1956&lang=lg1b7&list_btn=j52s6&month=bm864&parent_ele=qmx20&pre_btn=o3qg1&query=tktd8&token=jf6u3&view=tg8d1&waite_time=g76a0&year=yn0e4 找个XSS平台选择默认模块就足够了,主要就是用来获取管理员cookie和后台地址用的。由于平台关闭了邮箱通知功能,不能在第一时间使用有效的cookie。如果管理员长时间不操作那么获取到的cookie就会失效。所以这里需要把keepsession选上,这个功能每隔9分钟会自动访问目标来确保cookie的有效性。 测试了一下这个链接可以正常接收到数据。 众所周知每个公司的官网都有留言的地方,我们可以通过这个功能把钓鱼链接发送给后台。当管理员登录后台发现有留言肯定会点击查看。 愿者上钩(静候佳音) 等待后续补充 HTTPS站点 呦!你也在啊! 原本以为这两个站是同样的,用同样的注入点访问时站点返回File not found。嗯?这啥情况? 随便翻了翻这个站点同样存在sql注入,注入点:https://127.0.0.1/news_details.php?id=215。 两者的数据库结构差不多,管理员账号和密码都一模一样。 还在留言板中找到了其他师傅留下的信息 同样这个站点存在反射型XSS。宁可错杀一百,不可放过一个。继续钓鱼,具体操作和上面的一样这里就不展示了。
-
磐云被黑最惨的一次 好玩 进入目标后看到数据包中的域名,复制到浏览器里可以正常使用。 一通瞎点看到返回的数据包内容全都被加密了。 加密就没办法了,那就找找接口吧。在找接口的过程中找到了一段神秘密文:wsafkb@q124129&,并且这段代码十分的不简单。看样子是把请求的数据解密后再把数据发送到服务端的过程。 知道了密钥那就解密一下数据看看效果。随机选择了一个响应数据,把密钥填进去解密后果然获得了明文数据。 点击报告查询功能,看到请求包末尾是加密后的状态解密看看。 其中mrn对应的参数中文释义是病历号,再细看他的序号是有规律的,截至目前到我这是:25年第005416份报告。 知道了病历号的规律那查看一下其他人的报告试试。bp开启拦截功能,然后修改请求包后面的加密内容,直接可以越权查看到别人的体检报告。后续尝试了一下,这个小程序所有功能点都是同样这种加解密的方式来获取数据的,这边就不一一演示了。 磐云:玩呢! 你以为到这里就结束了吗,不可能,根本停不下来。注意到响应包的头是360的磐云。众所周知防火墙都是要靠数据包内容来判断是否有威胁的,但是这个小程序的数据包内容都被加密了磐云肯定检测不出来请求是否有威胁性,但也不能排除磐云有没有单独的为这个单位经行定制适配,如果适配了那么我们在请求包中带有威胁函数的请求就会被识别并拉黑。 随机选个一功能点,bp拦截请求包,在请求里面添加一个'看看有没有sql注入漏洞 解密响应包的内容,果然有sql注入 这不就来了吗。并且能够getshell。 代码分析 以下是完整的代码 "6f54": function(e, t, n) { "use strict"; n("7a82"), Object.defineProperty(t, "__esModule", { value: !0 }), t.Decrypt = r, t.Encrypt = function(e) { var t = a.enc.Utf8.parse(e) , n = a.RC4.encrypt(t, o, { RC4_IV: i, mode: a.mode.CBC, padding: a.pad.Pkcs7 }); return n.ciphertext.toString().toUpperCase() } , t.isDecrypt = function(e) { try { r(e) } catch (t) { return !1 } return !0 } , n("d401"), n("d3b7"), n("25f0"); n("786d"); var a = n("d785") , o = a.enc.Utf8.parse("wsafkb@q124129&") , i = a.enc.Utf8.parse("wsafkb@q124129&"); function r(e) { var t = a.enc.Hex.parse(e) , n = a.enc.Base64.stringify(t) , r = a.RC4.decrypt(n, o, { RC4_IV: i, mode: a.mode.CBC, padding: a.pad.Pkcs7 }) , s = r.toString(a.enc.Utf8); return s.toString() } },其中最主要的代码是这段: var a = n("d785") , o = a.enc.Utf8.parse("wsafkb@q124129&") , i = a.enc.Utf8.parse("wsafkb@q124129&"); function r(e) { var t = a.enc.Hex.parse(e) , n = a.enc.Base64.stringify(t) , r = a.RC4.decrypt(n, o, { RC4_IV: i, mode: a.mode.CBC, padding: a.pad.Pkcs7 }) , s = r.toString(a.enc.Utf8); return s.toString() }这段代码首先定义加密库和密钥。a是加密库,o和i是密钥和初始化向量,字符串为:wsafkb@q124129&的UTF-8格式。 var a = n("d785") , o = a.enc.Utf8.parse("wsafkb@q124129&") , i = a.enc.Utf8.parse("wsafkb@q124129&");这段是定义解密函数,主要是对输入的字符串e进行解密。解密步骤:先把输入的字符串e解析为十六进制格式,再把十六进制数据转换为Base64格式。然后使用RC4算法解密,密钥为o(就是上面o定义的值),初始化向量为i,模式为CBC,填充方式为PKCS7。最后把解密结果转换为UTF-8字符串并返回。 function r(e) { var t = a.enc.Hex.parse(e) , n = a.enc.Base64.stringify(t) , r = a.RC4.decrypt(n, o, { RC4_IV: i, mode: a.mode.CBC, padding: a.pad.Pkcs7 }) , s = r.toString(a.enc.Utf8); return s.toString() }磐云 你加密数据包干什么呀?啊!你这种操作会把我的作用给异化掉的懂吗?知不知道什么叫防火墙?啊!你能说我没有起到作用吗? 我跟你打个比方啊,比如说你倒车入库。你用自动泊车功能,成功入库后,哎呀!自动泊车得了MVP!一看激光雷达天天在那,就是测距、识物。躺赢狗!激光雷达就是躺赢狗!激光雷达的评分是3.0。自动泊车一键入库省时省力对吧,13.0carry局能这样算吗?啊!你告诉我激光雷达是不是躺赢狗啊!马勒戈壁的,真是神经病! 你加密数据包干嘛呢?那不是要具体看数据包内容,看它有什么行为吗?啊!我每天检查这些加密后的数据包我都不知道里面是啥,你还说我没起到作用!傻逼啊!要不让你们开发自己开发一个防火墙来检测数据,他们又不愿意。你说我怎么保护你啊。
-
对目标企业一个全面的渗透过程 常规测试 站点首页 企业官网,没啥可打的。Ping域名得到ip,扫描端口只开了80和443。那就打子域名吧。 存储桶目录遍历 通过信息收集,找到了两个存储桶,都可以目录遍历,其中crms泄露了39份文件,huyonguangfu泄露了44万份。 存储桶文件上传 通过尝试名为crms的存储桶可以上传文件。 Nacos弱口令 在无意之间遇到3个站,首页是这样。 原本想试着放bp里爆破账号密码的,出于习惯顺手查看一下插件有没有出货啥的。这一看果然还真爆装备了。 看到nacos的密码就知道是默认的,直接反手登录到nacos 翻了一下还存在其他账户,不过已经有一个账户了其他的都无所谓了。 多个漏洞 通过检测还存在其他类型漏洞 存储桶接管 查看了一下dassolarprod继续爆装备,配置中写了华为的ak、sk。 我直接接管好吧。查看了一下内容,接管到就是文章一开始提到的存储桶。 jboss多个漏洞 这个站,存在jboss的反序列化、代码执行、未授权访问漏洞 最后一个弱口令 最后还有一个弱口令
