SRC挖掘思路清单二

• 信息搜集时用域名整理得到c段，使用ffuf+自写的批量脚本对c段批量目录扫描，且最好部署在vps上，后台运行脚本，保存扫描结果

• 对uplaod.php空白界面FUZZ参数名，爆破参数值，出现上传表单，上传shell，FUZZ上传路径

• XSS-WAF绕过：输出在JS内的闭合与注释；Function()来代替eval()；atob解密base64加密的JS，绕过对alert()的过滤；4.反引号代替括号与引号，绕过对()的过滤

• FUZZ目录、参数名得到/xxx?image_url=xx，八成是接收远程加载图片的参数，直接无脑get一个SSRF漏洞

• 逻辑缺陷-水平越权-删除openid参数得到所有用户学习，用得到的账号用户名进行用户名喷洒，成功登录

• 修改imageurl参数为dnslog地址，发现成功回显，探测内网失败，猜测为云服务器，探测云服务器元数据成功

• 认证缺陷，遍历id获得多个手机号，openid又使用手机号做唯一的身份校验

• 任意用户密码重置，登录接口遍历手机号，密码重置时，把手机号替换为其他手机号，成功重置密码

• 输入手机号就可以获得对应的订单信息，滞空手机号返回所有用户信息

• 一个获取管理员token的接口，把username参数改为admin，就返回了管理员token，复用此凭证可访问更多敏感接口

• 弱cookie问题，修改cookie的UserCode值为admin，直接获得了管理员权限，猜测UserCode会进行数据库交互，直接尝试SQL注入，成功报错注出数据

• A站点是大屏系统，B站点是存放大屏数据的后台，A站点的大屏有些数据是从B站点调用的，发现了A站点某个接口直接泄露了B站点的URL，用户名，密码，因为数据需要认证才能获取调用，因此账号密码直接写在了调用链里面

• js文件泄露API接口，拼接base路径，批量访问，得到用户名规测，按照规测批量生成用户名字典，再用户名喷洒成功进入系统

• 日志中有一个IP进行了大量扫描活动，访问该ip找到了上传点，上传ASPX马，返回了路径在82端口，但是82端口无法访问，幸运的是在80端口发现/upload目录遍历漏洞，也可访问ASPX马，getshell

• 修改POST参数username为admin获得管理员权限，登录普通账号，来到修改密码处，抓包用户名改为admin，重置了管理员密码

• 上传了aspx木马，无法使用webshell管理工具连接，但是可以解析aspx代码，于是使用ChatGPT生成执行了某些命令的aspx脚本并上传，间接的执行了脚本并获得了回显

• Nginx默认界面->扫描目录->发现一个302跳转，跳转到了一个http://内网地址/xxx/xxx，把内网地址换为目标的外网地址，成功发现一个登录系统->基本流程走一遍无果，发现可下载APP端->jadx逆向看看接口->拿到接口批量未授权测试->发现是.do上个Struts2利用工具->失败->尝试sqlmap注入成功->发现了另一个端口的系统->发现又是.do上个Struts2利用工具->成功利用->getshell

• 前端显示敏感信息是*号的时候往往有以下几种情况

  1、身份证、手机号是没有数据，就只是在前端用*号表示，没有实际数据，做展示作用

  2、身份证、手机号从服务器返回的信息就是脱敏了部分然后展示，如430523****0038，1356544。

  3、身份证、手机号从服务器直接返回，然后在仅仅前端展示的时候用*号替代

这次遇到的情况就是仅仅在前端展示的时候用*号替代，其实数据包返回了未脱敏的数据，造成信息泄露

• 一个上传头像功能点，尝试绕过后缀检测均未成功，看到type\fileType\breach,根据以往渗透测试经验就是把参数修改成0、1、2这些看是不是能绕过文件类型检测。发现都不可以，以往fileType可能是1代表文件、2代表图片文件。但是都以失败告终准备放弃了，突然想起来还有一个参数all代表全部，修改为all，代表接收所有类型的文件，直接上传成功
• 拿到小程序后，访问需要授权登录，直接授权登录，没有sign值保护，在换绑手机号时，直接尝试修改Mobile为其他手机号，换绑成功;转战小程序代码反编译，找到了小程序上没有的功能接口，直接进行拼接测试，并没有对权限校验的很严格，导致可以利用目前的帐号去访问，越权获取所有用户的openId值和手机号，取到的openid值可以直接替换在登陆包文里，只校验了openid参数，替换后成功登陆其他用户帐号