从JS接口到拿下大量学校的超级管理员权限
信息收集首先通过网站标题搞清楚了网站的性质,是一个某地的站群系统,集合管理着大量的子网站 通过Wappalyzer了解使用的重点技术有:Java、Swagger-UI、Spring、Vue.js、Webpack 而常用的前后端分离架构正是Vue.js + Java(SpringBoot) 于是可以初步判断该站点是前后端分离架构的 而前后端分离的架构,常涉及到前后端之间的数据的传递与调用,如果接口鉴权未做好,很容易出现API接口未授权的安全漏洞 基本测试流程简单的信息收集之后,接下来开始走一遍登录框的基本测试流程 万能密码 弱口令 用户名枚举...
免杀Day-1
杀毒软件检测⽅式静态查杀特征码扫描机制:杀毒软件使用病毒数据库中的特征码(也称为病毒指纹)来检测已知的恶意软件。当杀毒软件扫描系统中的文件时,它会将文件的内容与特征码进行比对。如果匹配成功,文件将被标记为恶意软件。 优点:特征码扫描对已知的恶意软件非常有效,能够快速检测和处理。 缺点:对于未知或变种的恶意软件,特征码扫描可能无法检测到,因为这些恶意软件可能不包含数据库中的特征码。 ⽂件校验和每个文件都可以通过特定的哈希算法(如...
EDUSRC挖掘技巧-1
如何找通杀漏洞,快速上分 EDUSRC挖掘技巧-1:如何找通杀漏洞,快速上分? 思路一:从开发商入手这里有开发商的排行榜,那么如果我们找到了某开发商的某产品的一个漏洞,那么不就对使用该产品的所有学校造成了通杀吗? 确定好一个开发商,对其产品进行信息收集,以上海慧泉软件科技有限公司为例 第一种方法:直接用FOFA搜索 这里就基本可以看到一些该公司的产品了 第二种方法:小蓝本查看知识产权但是有些时候这里看不到或者不全,还可以使用小蓝本查看知识产权 这些都是公司的产品,都有可能找到漏洞,造成通杀 接着就是对这些系统一个一个去找找漏洞咯 思路二:从指纹入手使用FOFA语句 1("系统" || "登录" || "后台" || "管理") && org="China Education and Research Network...
SQL注入的防御
...
浅谈预编译之于SQL注入防御
前言一提到SQL注入的防御,首先想到的就是预编译咯,但是我之前并没有仔细研究过预编译,于是今天来谈一谈预编译是如何防御SQL注入的?预编译真的能防御所有的SQL注入吗? 以php+mysql为例 SQL语句的执行流程在执行 SQL 语句时,数据库通常经历以下步骤: 解析(Parsing):数据库接收到 SQL 语句后,首先对其进行关键字、标识符、运算符的分解,然后进行解析和语法分析。这一步骤的目的是检查 SQL 语句的语法是否正确,并将其转换为一个解析树或语法树。 预处理(Preprocessing):解析后的 SQL 语句会进行预处理,包括检查语句中涉及的表和字段是否存在,用户是否有足够的权限来执行该操作,同时检查语义的正确性等。 优化(Optimization):在这个阶段,数据库优化器会根据数据库的统计信息和索引等信息,生成一个高效的查询执行计划。优化的目的是选择最优的执行路径,以提高查询性能。 生成执行计划(Execution Plan...
记一次对某佛教系统的漏洞挖掘
业务介绍是一个某佛教的系统 有一些佛教的学习资源、一些佛教相关的实物商品可购买,有个人中心,供奉活动,讲堂,禅院动态 漏洞发现获得测试账号权限由于没有普通用户权限,只是访客权限,于是想先注册一个账号 结果是不允许注册的,只允许已有的用户进行登录,输入我的手机号会校验是否是已有的用户,不是则不允许发送验证码 这可怎么办呢,爆破手机号显然不现实,而且就算爆破手机号,也无法收到验证码啊,这样一来连普通用户权限都没有了,这对进行其他功能点的测试来说是一个极大的阻碍 于是我不死心地再试了试测试手机号,也就是开发在做这个发送验证码的功能时,大都会创建一个默认的测试手机号,用来验证功能是否完善有无bug等等,如果开发没有即时删除这个默认的测试手机号,攻击者就能轻易以测试账号的权限登录进系统,因为这种测试账号的密码也一般就是弱口令 于是我试了试经典的 13888888888、15888888888、18888888888...
SRC案例-一枚价值2500刀乐的IDOR漏洞
业务描述 首先,xxx.xxx.com中的用户可以通过填写的电子邮件重置账号密码 在 xxx.xxx.com 上,可以创建一个组织并添加该组织的成员,有两种方式可在组织中添加成员。 第一种,可以通过使用填写对方的电子邮件地址邀请他们,需等待对方同意后方可成功添加 第二种,比较不同了,开始只需要任意填写成员姓名,这被称为演示用户,添加演示用户后,可以编辑它并添加电子邮件地址,然后仍然是需等待对方同意后方可成功添加,以使其成为实际用户 漏洞发现 首先创建了组织test 然后创建了演示用户B,只填写了成员姓名 然后给用户B赋予一个电子邮件地址,并抓包,数据包如下: 123456789101112131415POST /<organizationID>/addEmail/<DemoUserID>/ HTTP/2Host: redacted.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0Accept:...
beef一款XSS神器
beef简介xss平台师傅们都用过吧,beef呢其实也相当于一个xss平台,只是功能更强大一些,它有一个hook.js钩子,只要把这段代码插入到存在存储型xss漏洞的网站,那么访问者的浏览器就会沦陷,通过hook.js钩子,访问者的浏览器会被持续化的控制住,利用beef可以执行很多强大的模块,进一步获取敏感信息,钓鱼,探测内网等等 beef的特点是有个缓存污染机制。目标网站只要触发过一次XSS,就会被污染缓存,目标下次访问这个网站,还是会一直上线。而且目标只要开着这个网页,那么就会一直在线上,除非目标专门清理缓存,不然很难摆脱beef 安装https://cloud.tencent.com/developer/article/2196746 基本界面介绍可以看看这个从0到1简单的熟悉一下基本操作: https://blog.csdn.net/smli_ng/article/details/106067842 使用在本地搭建beef,使用自带的demo演示一些好玩的功能嘿嘿 执行任意JSRaw JavaScript 实用功能,在目标页面上实时执行JS代码 弹窗诱导Create...
JS逆向实战-房天下登录系统
加密发现开局一个登录框,开逆! 输入任意账号密码登录,抓包,看看载荷 pwd是密码参数,被前端加密了 密码合法性前端校验如果我输入一长串密码,点击登录,发现抓不到登录包,为什么呢? 来看看js怎么写的吧,多半是有前端的密码合法性校验,只有先通过了前端的合法性校验,数据包才能发给服务器,才能被抓到包 好家伙,一眼就找到了,原来是限制了密码的位数6-16位,否则就不发包,over 逆向加密过程ok,进入正题 全局搜索pwd,寻找pwd的加密入口点,我自称加密点 看到了”encrypt”多半就是这里了,点击跟进,为了确定加密点就是这里,可以在这里下个断,再点击登录触发加密流程,看看是否程序会停在这里,调试一下值,看看是否真的是在经过这个点之后,pwd就由明文变为密文了 (由于我登录次数太多,被封了24h,就没办法放调试结果的截图了,但之前我调试成功了) 经测试,这里的确是加密点,分析一下 1encryptedString(key_to_encode,...