文章详细列举了多种Web应用漏洞的测试方法,包括信息泄露、HTTP响应头利用、密码爆破、XSS跨站脚本、SQL注入、弱口令攻击、SSRF服务器端请求伪造、文件上传漏洞利用等。同时提到了自动化工具如Httpx和Sqlmap在漏洞检测中的应用,以及通过灯塔等工具进行信息收集的重要性。
edusrc漏洞挖掘链-思路总结(二)
| 漏洞点 | 测试路径 | Payload | 总结 |
| 信息泄露 | 1、收集子域名--->httpx -path /xxxx -l /Users/helen/Desktop/lenovo.txt -title -tech-detect -status-code -threads 50 -web-server--->-path指定一个错误路径,让页面返回错误页面标题--->报错返回了敏感信息(绝对路径) 2、添加字符串--->引起程序报错(看是否有敏感信息,如绝对路径) 3、加错误字符串跳转首页--->采用添加参数的方法--->使他报错(返回敏感信息) | Httpx工具 | 工具+手工(就是得使你报错,且不跳转) |
| 密码爆破 | 统一身份认证登录的条件入手-->用户名、密码(身份证后6位)规则--->信息收集(知道了后5位) | 信息收集(查询一些公开信息,录取老师的化,会有老师身份证后几位) | 善于信息收集+整合 |
| 弱口令+SSRF+XSS+getshell | 1、弱口令进入后台 2、添加课程---->在课程列表中存在数据的回显 3、框内都插XSS--->弹窗 4、上传后门木马--->白名单检测--->重写文件名(双写)---->上传成功 | 测试回显、白单单尝试重写 | 每个地方都针对性测试 |
| XSS+任意密码重置 | 1、使可以注册用户--->编辑个人信息--->插入xss--->弹窗--->获取到管理员cookie 2、受害者账号进行发送验证码(马上截取)--->将发送验证码的手机号改为了攻击者的--->收到验证码--->输入验证码--->重置了密码 | Xss+参数的修改(2个账号) | 看能否自己注册到账号 |
| 数据自动填充+id=1使管理员账号 | 注册用户的时候,存在数据的自动填充 2、id=1可以查看管理员信息--->(但是无法越权)--->使用弱口令进入管理员账号 | 数据不填完看能否提交+id参数的猜测 | 切勿走寻常路 |
| 任意密码重置 | 修改密码功能,请求包中有id参数,进行修改 | 可以注册2账号测试 | - |
| 弱口令+内网探测 | 1、用户手册(密码组成)---->bp爆破 2、vpn登陆后--->ip网段收集--->发现了存在的web服务--->数据库弱口令(内网多个web服务器存在漏洞) | Vpn弱口令进入内网 | - |
| SQL注入 | httpx进行一个存活探测--->在某个网站点击活动会进行跳转(URL变化)--->丢到sqlmap测试 | Sqlmap | 观测URL变化 |
| 弱口令+越权 | 1、云平台--->弱口令进入(无验证码的) 2、越权修改他人密码(修改参数loginNaem) | 参数的修改 | 修改任何代表用户身份的参数 |
| 未授权访问 | 考试系统登陆界面--->看js--->找到后台目录(接口是重置密码的)--->(忘记密码--->找回密码方式--->重置密码) 重置密码界面--->重置了admin账号 | 分析js文件 | 寻找敏感目录 |
| 未授权+弱口令+getshell | 1、目录扫描--->找到了未授权页面--->页面包含所有用户的id值--->反手弱口令爆破 2、上传文件--->存在白名单+重命名--->文件名截断(针对白名单)+目录的遍历(针对的文件重命名)--->getshell | 文件名截断、目录遍历 | - |
| 登陆框注入+getshell | 1、找.aspx后台--->存在万能密码(也就是存在注入)--->批量搜索同类型站点 2、上传文件--->存在白名单+重命名--->文件名截断(针对白名单)+目录的遍历(针对的文件重命名)--->getshell | - | - |
| 登陆票据 | 1、找回密码处--->返回数据包中有找回是否存在提醒 2、使用已有账号测试密码重置流程--->密码重置处--->重置某人密码,会带上该人的Access-Reset-Ticket(登陆票据,拥有登陆票据就可以证明自己成功登陆过)----重置密码修改了管理员密码 | 参数的不严谨 | - |
| 验证码+隐藏参数+未授权 | 1、验证码一个请求包xxx_code--->赋值给第二个请求包的yyy_code--->验证码发送成功(每次把xxx_code--->yyy_code)--->验证码轰炸(企业src) 2、个人中心修改数据的地方--->邮箱(等参数)是不能修改--->抓住请求修改的数据包--->看见有邮箱等参数--->将数据包进行修改 3、未授权页面测试---->可以是dirsearch.py脚本跑(发现更多的目录) | 观察每个参数在每一步数据包中是否有传递 | |
| 绑定+验证码劫持+报错(敏感信息泄露) | 1、扫码--->需要输入工号进行绑定(且这个地方没有任何验证)--->查看姓名、手机号、单位等(非敏感信息) 2、验证码登陆--->可以验证码劫持--->将请求包里面的手机号改为自己的--->发现收到验证码且可以登陆 3、发现前台的记录发布时间---->发布内容的时候修改时间点---->报错(爆出敏感数据) | 任何值都有可能报错 | - |
| 自动填充(敏感信息) | 1、登陆进入后修改密码--->自动填充学号、原密码等信息--->修改自动填充的学号--->实现了任意密码越权修改 | 观察数据包 | - |
| 流程问题 | 1、登陆界面输入学号、验证码--->再点击找回密码--->跳转到safe/sendphone1.jsp(发送短信验证码)--->但是这个页面的右上角显示是已经登陆成功状态---点击可以查看当前账号的敏感信息(通过这个界面还可以重置手机号+密保) 2、登陆成功以后--->访问/safe/user/log.jsp--->查看到用户的登陆ip、时间等 | 意向不到的流程 | - |
| 信息泄露 | 使用灯塔对edusrc进行信息收集 语法:host=”edu.cn” && country =”CN” (不知是否还可以对edusrc收集) | 灯塔 | - |
实战中心:
GitHub - BLACKxZONE/Treasure_knowledge
https://github.com/BLACKxZONE/Treasure_knowledge
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
