SRC案例-一枚价值2500刀乐的IDOR漏洞
业务描述 首先,xxx.xxx.com中的用户可以通过填写的电子邮件重置账号密码 在 xxx.xxx.com 上,可以创建一个组织并添加该组织的成员,有两种方式可在组织中添加成员。 第一种,可以通过使用填写对方的电子邮件地址邀请他们,需等待对方同意后方可成功添加 第二种,比较不同了,开始只需要任意填写成员姓名,这被称为演示用户,添加演示用户后,可以编辑它并添加电子邮件地址,然后仍然是需等待对方同意后方可成功添加,以使其成为实际用户 漏洞发现 首先创建了组织test 然后创建了演示用户B,只填写了成员姓名 然后给用户B赋予一个电子邮件地址,并抓包,数据包如下: 123456789101112131415POST /<organizationID>/addEmail/<DemoUserID>/ HTTP/2Host: redacted.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0Accept:...
beef一款XSS神器
beef简介xss平台师傅们都用过吧,beef呢其实也相当于一个xss平台,只是功能更强大一些,它有一个hook.js钩子,只要把这段代码插入到存在存储型xss漏洞的网站,那么访问者的浏览器就会沦陷,通过hook.js钩子,访问者的浏览器会被持续化的控制住,利用beef可以执行很多强大的模块,进一步获取敏感信息,钓鱼,探测内网等等 beef的特点是有个缓存污染机制。目标网站只要触发过一次XSS,就会被污染缓存,目标下次访问这个网站,还是会一直上线。而且目标只要开着这个网页,那么就会一直在线上,除非目标专门清理缓存,不然很难摆脱beef 安装https://cloud.tencent.com/developer/article/2196746 基本界面介绍可以看看这个从0到1简单的熟悉一下基本操作: https://blog.csdn.net/smli_ng/article/details/106067842 使用在本地搭建beef,使用自带的demo演示一些好玩的功能嘿嘿 执行任意JSRaw JavaScript 实用功能,在目标页面上实时执行JS代码 弹窗诱导Create...
JS逆向实战-房天下登录系统
加密发现开局一个登录框,开逆! 输入任意账号密码登录,抓包,看看载荷 pwd是密码参数,被前端加密了 密码合法性前端校验如果我输入一长串密码,点击登录,发现抓不到登录包,为什么呢? 来看看js怎么写的吧,多半是有前端的密码合法性校验,只有先通过了前端的合法性校验,数据包才能发给服务器,才能被抓到包 好家伙,一眼就找到了,原来是限制了密码的位数6-16位,否则就不发包,over 逆向加密过程ok,进入正题 全局搜索pwd,寻找pwd的加密入口点,我自称加密点 看到了”encrypt”多半就是这里了,点击跟进,为了确定加密点就是这里,可以在这里下个断,再点击登录触发加密流程,看看是否程序会停在这里,调试一下值,看看是否真的是在经过这个点之后,pwd就由明文变为密文了 (由于我登录次数太多,被封了24h,就没办法放调试结果的截图了,但之前我调试成功了) 经测试,这里的确是加密点,分析一下 1encryptedString(key_to_encode,...
JS逆向实战-南京大学统一身份认证平台
前言:OK,今天开始学习一些基本的JS逆向技术,先达到能逆向出一些简单站点的校验参数、密码等的加密流程,并能写出py脚本爆破密码的程度,话不多说,上案例 加密发现 打开目标,南京大学统一身份认证平台,如果加密的话那肯定是加密密码参数 输入admin 123456测试看看,F12,抓包,看看登录包载荷 果然密码参数被加密了,看样子肯定不是base64等等简单的加密 本地禁用js,还是输入admin 123456,再次抓登录包,看看载荷 密码就以明文形式呈现了,说明加密密码参数的逻辑就写在js代码中,尝试通过分析js逆向出加密流程,这样就可以爆破密码了 逆向加密流程直接全局搜索 password 参数,定位到加密代码段 这里似乎找到了加密password参数的加密点,到底是不是呢? 可以下个断,调试验证一下,在第90行打上断点: 再次输入admin...
瑞友天翼RCE漏洞复现
...
SRC挖掘思路清单二
...
SRC案例-对强制退出的一次有趣绕过
常规测试后台系统,开局一个登录框,弱口令爆破,找回密码,短信轰炸,API接口未授权,js泄露,指纹识别,二维码问题等等都看了还是没有任何收获 注册账号后台居然还允许注册账号吗?有点奇怪了,先注册一个看看怎么个事 果然,虽然注册成功了,但是登录时被强制退出了,这可咋办呢,不要慌,先看看数据包,分析一下,是直接退出呢还是检测了权限不足而退出呢还是什么情况,是通过什么来控制我强制退出的?我们如果能找到这个,那么可能就离成功不远了 查看数据包发现,登录成功后就直接自动请求了logout地址进行退出操作 估计应该是检测了我数据包中有没有真正登录成功的凭证,比如cookie,token,如果没有,就自动请求logout地址进行强制退出操作 虽然真正登录成功的凭证我们是目前是拿不到的,但是我们强制不让他请求logout地址进行退出操作不就行了吗 可以利用burp的”Match and...