商城主动给我0元购资格 1. 常规测试首页这是一个购物的小程序，那我们就冲着0元购目的打。首先看到数据包中有商城的地址，那就试试看后台有没有弱口令吧。字典都跑完了没有爆破出弱口令账户。还是测试功能点吧。2. 并发挨个测试那就先测试签到功能吧，目前是0积分。把bp的拦截功能打开，拦截签到的数据包，然后转发到intruder模块。把payloads设置为Null payloads，并选择无限循环。再新建一个并发999的资源池，发包。成功了两个请求，获得了10积分。3. 0元购接下来测试余额功能，点进去后有一个充值按钮。点击后是充值界面，那就充个0.01吧。点击立即充值按钮后，会产生两个数据包。第一个数据包是充值的申请，第二个数据包每隔5秒检测该请求是否已支付状态。如果关闭了付款二维码则会返回第三个支付失败的数据包。其中在第一个数据包中包含了支付金额、用户id和用户token。既然显示了金额，那我能不能填写0.01然后扫码支付0.01后拦截他的数据包把0.01改成想要的数字呢？我看刑试一试。扫码支付0.01后拦截他的数据包人就傻了，数据包被加密了，改不了。再回头看数据包这个planId是干嘛用的？不甘心再试试，再充个0.01点击立即充值然后拦截该数据包把planId=0修改成planId=1看看是什么效果。放包后扫描二维码成功支付0.01，再返回钱包你猜怎么着，多了10元。看看充值记录是什么情况。用0.01充10.01足足1001倍啊，爆率真的高。那我要是把planId=0修改成planId=2又是什么样的效果呢。填写0.01点击立即充值，拦截数据包把planId=0修改成planId=2然后放包扫码支付后，回到钱包还是用0.01充10.01多次尝试后发现当planId改为4时则会返回充值套餐不存在的提示。到这里我就明白了，当planId=0时是正常的充值，而1、2、3则有可能是小程序在开发时用来测试用的，小程序上线后这个测试的充值套餐没有被删除。（题外话：这种功能常用于在搞活动的时候用到，比如充值500送200这样的活动。）4. 好多优惠券ok接下来该轮到测试优惠劵了，点击领券中心，只有一个满1元减0.01的券。点击领取后，查看一下数据包好玩的就来了。数据包中包含优惠券的id、用户id和用户token盲猜和充值一个逻辑，直接把数据包转发到intruder模块。把coupon_id参数设置为变量，payloads设置为数值，数字范围从0到100一共成功领取了12张优惠券5. 水平越权最后再测试一下个人信息界面吧。头像处经过尝试发现限制非常死，恶意文件上传不上去。上传正常图片后点击保存按钮，在数据包中就发现好玩的了。数据包中有图片的id。数据包转发到repeater模块尝试把图片id改成1试试。发现我的头像变了。再改成2试试。

前端登陆绕过渗透过程 1. 开始1.1 梭哈站点首页看到登录框首先测试一下有没有sql注入，一个1'啪就打进去，提示用户名错误，寄。既然提示用户名错误了那就爆破用户名吧。用户名和密码随便输，抓一个数据包。点击登录后bp竟然没有任何数据包，立马来精神了。bp没有数据包有两种情况：一个是bp出故障了、另一个就是站点靠前端校验没有与后端交互，所以没有数据包产生。我可以肯定我的bp不可能出问题的，所以哈哈哈哈哈哈。1.2 梭哈是一种智慧直接F12大法全局搜索admin字样。喜滋滋账户和密码这不就来了嘛，后台我来了哈哈哈。屮，好家伙用户名对了密码不对是吧。现在bp里有数据包了，看一下数据包里的内容。看到result字样相信在座的各位大佬都坐不住了吧。重新拦截登录的数据包，直接把"result":"false"改成"result":"true"成功登录到后台。2. 分析2.1 完整代码ok现在让我看看他具体的代码是怎么判断，让我看看你是怎么秀的。先看看完整代码：IndexComponent.prototype.goLogin = function() { var t = this; if ("" == this.userName || "" == this.passWord) return void (this.toast = "用户名或密码不能为空!"); if ("adminxhsty" != this.userName) return void (this.toast = "用户名错误!"); var n = { code: this.userName, username: encode(this.userName, "thinkgem,jeesite,com"), password: encode(this.passWord, "thinkgem,jeesite,com") }; $(".loading").show(), this.indexService.goLogin(n).then(function(n) { $(".loading").hide(), "true" == n.result ? (t.isLogin = !1, t.onVoted_changelogin.emit(!t.isLogin), sessionStorage.setItem("sessionid", n.sessionid)) : t.toast = n.message }) }2.2 分析逻辑首先定义了一个goLogin方法，var t = this;将当前对象保存在变量t中，这样在后面的异步回调中可以访问该对象的属性和方法。IndexComponent.prototype.goLogin = function() { var t = this;这段代码首先检查用户名和密码是否为空。如果是空的，则返回：用户名或密码不能为空!。如果用户名不是"adminxhsty"，则返回：用户名错误!。 if ("" == this.userName || "" == this.passWord) return void (this.toast = "用户名或密码不能为空!"); if ("adminxhsty" != this.userName) return void (this.toast = "用户名错误!");如果通过了验证，接下来准备一个包含登录信息的对象n：code：使用输入的用户名。username和password：通过encode函数编码输入的用户名和密码，使用了特定的加密参数"thinkgem,jeesite,com"。 var n = { code: this.userName, username: encode(this.userName, "thinkgem,jeesite,com"), password: encode(this.passWord, "thinkgem,jeesite,com") };接下来，显示页面中的加载动画。然后调用this.indexService.goLogin(n)方法，传递准备好的登录信息n，这个方法返回一个Promise对象。当登录请求完成时，执行接下来的动作：根据返回的数据n中的result字段判断登录是否成功。如果n.result是字符串"true"，则表示登录成功。如果n.result是字符串"false"，则显示相应的错误消息。 $(".loading").show(), this.indexService.goLogin(n).then(function(n) { $(".loading").hide(), "true" == n.result ? (t.isLogin = !1, t.onVoted_changelogin.emit(!t.isLogin), sessionStorage.setItem("sessionid", n.sessionid)) : t.toast = n.message })

非预期文件上传TXT导致存储型XSS奇葩案例 1. 瞎逛1.1 常规测试站点首页。有注册功能，那就注册成为尊贵的用户吧。进入个人中心发现用户的头像处可以上传文件。1.2 分析数据包先上传一个正常图片看看数据包。发现上传头像后站点会有两步操作：第一步对上传的文件进行检验是否为合规文件，第二步对图片进行裁剪，最后把裁剪后的图片设置为头像。在设置头像的数据包中发现图片信息的上半段为二次渲染的标记，下半段为图片信息。知道了逻辑那就直接在第二步中修改文件信息吧。2. 开测2.1 尝试通过插件知道这是一个php的站。上传一个纯代码文件，在第一步中就失败并返回只能上传jpg、jpeg和png格式的文件的提示，难道是对文件头有限制？上传一个正常的图片。通过第一步的检验后，进入第二步裁剪完成后拦截上传头像的数据包，转发到repeater模块把图片名字cropper.jpg改为cropper.php，在图片信息末尾加上恶意代码然后放包。返回的还是只能上传jpg、jpeg和png格式的文件。2.2 迷糊把文件信息改成123456看看效果什么样。能显示啊这是为什么？把文件末尾信息改成123456<?php @eval($_POST['1']);?>123456访问后只保留了两个123456，中间的代码被删除了。头回遇到这种情况啊。3. 存储型XSS3.1 开眼虽然php没法利用了，但是至少还有html。可以弄一个存储XSS保底也还行，传上去访问文件竟然不显示。G，啥都没有。闲的无聊把文件后缀改成txt重新发包。访问目标文件，属实给我开眼了。非预期文件上传TXT导致存储型XSS！闻所未闻，想都不敢想的事啊！

从信息泄露到重置任意用户密码 1. 信息泄露1.1 常规测试站点首页注意到搜索框和商品id，尝试SQL注入和XSS，然并卵。 注册需要接收验证码，那测试一下看看有没有短信轰炸啥的。经过测试并发、短信转发、特殊格式绕过、大小写绕过、修改返回值等方法均失败。严格限制在1分钟内1条短信。1.2 无功而返那只能正常注册账户了。注册好后返回前台登录账户进入个人资料界面，头像功能可以上传文件，尝试一下看能不能把恶意文件传上去。经过测试发现把恶意文件的后缀改成图片格式可以储存，改成jsp就返回格式错误，通过fuzz还是不可以。1.3 爆装备闲的无聊翻一翻数据包惊喜就来了。在进入个人资料界面时站点请求用户id然后返回用户信息。果断把这个数据包发送到repeater模块，读取其他id看看是不是我想的那样。 哇～还真是啊！真好玩！果断把数据包发送到intruder模块爆破id值，爆出加上我一共60个账户。 但是泄露的信息只有姓名、手机号和头像这些也没啥用啊。想点办法再让他爆点金币出来。2. 任意用户密码重置2.1 上技术在登陆界面有个忘记密码功能，先按照正常流程重置密码试试。2.2 爆率真的高啊查看一下重置密码的数据包。 哇~爆率真的高啊！数据包中只有新密码、确定新密码和手机号内容，并没有对验证码进行校验这不就爽了吗。只要知道用户的手机号就可以直接任意重置用户密码了！2.3 真好玩通过前面泄露的信息随机挑选出一个幸运儿，利用这个修改密码的数据包重置目标账户，并成功登录到目标账户！

目录遍历导致水务系统被控制 1. 信息收集1.1 目录遍历通过扫描目标发现开放了1000端口访问后发现是目录遍历，通过这个漏洞可以看到在该目录中有一个压缩包通过压缩包文件发现了数据库文件，在文件中发现了管理员账户和密码2. 尝试2.1 遇阻安装好客户端软件，然后再使用Proxifier把软件代理到burp打开软件进行登录，发现其请求地址是本地，判断软件客户端是只在服务器上运行的尝试将地址修改为泄露源代码的地址，然后将上面数据库的用户名密码输入成功登录，但其他数据过不来2.2 转发端口这里想到使用端口转发的方式，将软件客户端发送到本地的10005端口转发到，47.99.119.236的10000端口使用Windows自带的防火墙转发netsh interface portproxy add v4tov4 listenaddress=127.0.0.1 listenport=10005 connectaddress=47.99.119.236 connectport=10000然后重新登录，成功出现数据。该系统泄露500多用户信息，控制两千多个设备任意修改水价、控制居民用水等操作。