脆弱資產蒐集
資訊蒐集過程中,除了用常見子域名掃一遍,還可以透過空間搜尋引擎手動搜尋。我用的就是把學校名稱或者縮寫作為關鍵字,利用語法:
web.body="關鍵字"&&web.body="系統"
web.body="關鍵字"&&web.body="登入"
web.title="關鍵字"&&web.body="管理"
web.title="關鍵字"&&web.body="後臺"
等一系列語法進行挨個檢視。
進行資訊搜尋(你得有一套自己的資訊蒐集邏輯吧,不然連這個系統都找不到)後,找到一處教學管理系統,點選頁面上方軟體,點選藍色連結,進入教學系統
此處存在多個平臺,但發現只有幾個平臺可以點選進入,先點選右上角的:國際結算
出現一個登入框,發現存在註冊按鈕,並且註冊沒有任何限制,直接註冊賬號進行登入(能進後臺肯定先進後臺測試,之後再測登入框漏洞)
後臺敏感資訊越權獲取
進入後頁面如下,挖洞需要首先觀察功能點,將所有能點的都點一遍,將功能轉化為介面,轉化為資料包後,再進行測試。
經過觀察,除了修改個人資料與修改密碼,其它均為檢視資料的地方,嘗試sql注入,RCE,檔案包含,目錄遍歷等漏洞均無成果,於是將目光轉到這兩處功能點。
點選修改個人資料,再點選儲存,轉到burpsuite檢視資料包
發現此處展現了我的賬戶,密碼等個人資訊,且資料包body較為簡單,於是將資料包轉到repeater進行測試。將userId改為2018發包,發現返回其他使用者資訊。
經過嘗試可以實現登入,再次將userId改為0001和0002直接展現管理員與超級管理員賬號,併成功登入。(經過嘗試,大概能獲取兩千左右的使用者資訊。)
【----幫助網安學習,以下所有學習資料免費領!加vx:dctintin,備註 “部落格園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
未授權加越權
得到越權漏洞一個,但挖洞時注意資料包如果存在cookie等鑑權欄位,就可以嘗試刪除,如果還能獲取就可能存在未授權漏洞。
刪除cookie後發包,再次成功獲取資料,退出登入,過了半天后再次傳送資料包,依舊成功獲取資料,於是又將危害擴大,能夠實現未授權狀態對任意使用者資訊的獲取。
繼續檢視先前的歷史資料包,找到儲存資訊那一個資料包。將其傳送到repeater模組進行分析。
接著先前思路刪除cookie但修改個人資訊失敗。進一步分析資料包,發現兩個可疑引數:head頭的userId與body處的userId,經過嘗試,將head頭的userId修改可以實現越權修改他人資訊,例如我將userId修改為2018再透過先前拿到的賬戶密碼,發現他的資訊已經被修改為了我的資訊。
(經過嘗試,以上漏洞通殺v1.v2.v3版本)
之後對修改密碼處進行一套checklist無果......
編輯器檔案上傳利用
秉持著功能點多少決定攻擊面大小的想法,我先登入進入了管理員賬戶。
在沒有太多功能點的情況下,從分析js檔案出發找功能點,有充足功能的情況下,就先將頁面展現出來的功能點轉化為介面測試,最後再分析js檔案。
進入普通管理員後臺,先將整個後臺功能點進行總覽,先不要著急去測功能點,把功能點先點一遍,再從資料包開始分析。
在資料包中發現Editor欄位,加上此處存在試卷編輯功能點,於是猜測可能使用了編輯器,在js檔案中搜尋關鍵字:
直接找到kindeditor編輯器,此處直接想到可以嘗試kindeditor的檔案上傳與目錄遍歷漏洞(多挖才會有思路)
注意此處涉及到介面拼接的一個問題,網上找的相關漏洞復現他們的路徑並不是完全通用的,我們在做js拼接時也要注意,路徑是否存在一個根路徑,本例的根路徑就是Content,如果你直接找網上的路徑拼接到url處是不行的。
例如檢視kindeditor版本的路徑就應該是:
為4.1.10貌似存在漏洞,於是訪問如下介面:
看到這個頁面,根據我的經驗估計穩了。於是按照步驟部署html上傳頁面,再將自己寫另一個的xss的html透過自己的html頁面進行上傳,抓包得到返回路徑,拼接後訪問,成功彈窗,此漏洞可在未登入狀態完成。(另一個目錄遍歷漏洞未能成功)
以下是kindeditor檔案上傳的html上傳頁面程式碼:(xss程式碼自己寫)
<head>
<title>File Upload</title>
</head>
<body>
<form enctype="multipart/form-data"
action="http://******/Content/KindEditor/asp.net/upload_json.ashx?dir=file"
method="post">
<p>Upload a new file:</p>
<input type="file" name="imgFile" size="50"><br>
<input type="submit" value="Upload">
</form>
</body>
透過資料包還看到IIS版本為7.5嘗試IIS解析漏洞與MS15-034(程式碼執行)無果。
更多網安技能的線上實操練習,請點選這裡>>