SRC挖掘思路清单二
本文最后更新于 2024年7月31日 下午
信息搜集时用域名整理得到c段,使用ffuf+自写的批量脚本对c段批量目录扫描,且最好部署在vps上,后台运行脚本,保存扫描结果
对uplaod.php空白界面FUZZ参数名,爆破参数值,出现上传表单,上传shell,FUZZ上传路径
XSS-WAF绕过:输出在JS内的闭合与注释;Function()来代替eval();atob解密base64加密的JS,绕过对alert()的过滤;4.反引号代替括号与引号,绕过对()的过滤
FUZZ目录、参数名得到/xxx?image_url=xx,八成是接收远程加载图片的参数,直接无脑get一个SSRF漏洞
逻辑缺陷-水平越权-删除openid参数得到所有用户学习,用得到的账号用户名进行用户名喷洒,成功登录
修改imageurl参数为dnslog地址,发现成功回显,探测内网失败,猜测为云服务器,探测云服务器元数据成功
认证缺陷,遍历id获得多个手机号,openid又使用手机号做唯一的身份校验
任意用户密码重置,登录接口遍历手机号,密码重置时,把手机号替换为其他手机号,成功重置密码
输入手机号就可以获得对应的订单信息,滞空手机号返回所有用户信息
一个获取管理员token的接口,把username参数改为admin,就返回了管理员token,复用此凭证可访问更多敏感接口
弱cookie问题,修改cookie的UserCode值为admin,直接获得了管理员权限,猜测UserCode会进行数据库交互,直接尝试SQL注入,成功报错注出数据
A站点是大屏系统,B站点是存放大屏数据的后台,A站点的大屏有些数据是从B站点调用的,发现了A站点某个接口直接泄露了B站点的URL,用户名,密码,因为数据需要认证才能获取调用,因此账号密码直接写在了调用链里面
js文件泄露API接口,拼接base路径,批量访问,得到用户名规测,按照规测批量生成用户名字典,再用户名喷洒成功进入系统
日志中有一个IP进行了大量扫描活动,访问该ip找到了上传点,上传ASPX马,返回了路径在82端口,但是82端口无法访问,幸运的是在80端口发现/upload目录遍历漏洞,也可访问ASPX马,getshell
修改POST参数username为admin获得管理员权限,登录普通账号,来到修改密码处,抓包用户名改为admin,重置了管理员密码
上传了aspx木马,无法使用webshell管理工具连接,但是可以解析aspx代码,于是使用ChatGPT生成执行了某些命令的aspx脚本并上传,间接的执行了脚本并获得了回显
Nginx默认界面->扫描目录->发现一个302跳转,跳转到了一个http://内网地址/xxx/xxx,把内网地址换为目标的外网地址,成功发现一个登录系统->基本流程走一遍无果,发现可下载APP端->jadx逆向看看接口->拿到接口批量未授权测试->发现是.do上个Struts2利用工具->失败->尝试sqlmap注入成功->发现了另一个端口的系统->发现又是.do上个Struts2利用工具->成功利用->getshell
前端显示敏感信息是*号的时候往往有以下几种情况
1、身份证、手机号是没有数据,就只是在前端用*号表示,没有实际数据,做展示作用
2、身份证、手机号从服务器返回的信息就是脱敏了部分然后展示,如430523****0038,1356544。
3、身份证、手机号从服务器直接返回,然后在仅仅前端展示的时候用*号替代
这次遇到的情况就是仅仅在前端展示的时候用*号替代,其实数据包返回了未脱敏的数据,造成信息泄露
- 一个上传头像功能点,尝试绕过后缀检测均未成功,看到type\fileType\breach,根据以往渗透测试经验就是把参数修改成0、1、2这些看是不是能绕过文件类型检测。发现都不可以,以往fileType可能是1代表文件、2代表图片文件。但是都以失败告终准备放弃了,突然想起来还有一个参数all代表全部,修改为all,代表接收所有类型的文件,直接上传成功
- 拿到小程序后,访问需要授权登录,直接授权登录,没有sign值保护,在换绑手机号时,直接尝试修改Mobile为其他手机号,换绑成功;转战小程序代码反编译,找到了小程序上没有的功能接口,直接进行拼接测试,并没有对权限校验的很严格,导致可以利用目前的帐号去访问,越权获取所有用户的openId值和手机号,取到的openid值可以直接替换在登陆包文里,只校验了openid参数,替换后成功登陆其他用户帐号