有一段时间没有写博客了,最近一直在忙着在补天啊,edusrc上挖漏洞,收获还算不错吧。随后又在360参加了第一次众测,定向挖掘漏洞还是挺有意思的,记录一下呗
0X00 我爱js
来到厂商ip段下的某站点,一进去就不对劲,直接就给我弹出后台的界面了,不过啥数据也没有,而且下一面就给我弹回到登录界面了
这么看这个站肯定很好搞吧,登录界面显示的是某某cms,没听说过,先网上搜搜历史漏洞先
找了半天,除了发现几个名字一样的外,就没有个看起来差不多的cms,应该是公司内部自己开发的系统吧
接下来尝试功能点了,试着尝试一下重置admin的密码
用的邮箱验证,admin没设置邮箱,还重置不了,因为有waf的原因,我也不敢爆破用户名,测试sql的话也让容易被wafban掉ip,先放放先
尝试一下登录后台,使用admin admin伪万能密码登录,抓包再放包,观察一下返回的包,发现返回了一个啥也没有的括号
没登录进去,尝试在返回包中添加内容,添加一个1,发现可以跳转到后台
然而在发完这个包以后,我又被弹出到登录界面了
将401修改成200也没啥用,估计是后端对session里的信息进行了检验,没有用户数据时登入后台将会强制弹出
估计还有机会,看看js里有没有啥能够未授权访问的接口,在js里搜索一下url,ajax,path等字段
然而都是
接口不行,那就只能再看看登录的逻辑了吧,结果倒还是有了发现,在登陆的接口这里,首先会判断返回的包中是否有信息,如果没有,则提示错误,如果有的话,就将这些信息写入session中
然后这是在后台检查我们是否登录的那个请求,可以看到他会将此次发包返回的信息与session中存储的信息进行对比,如果不同则强制退出后台,那么,我们是不是只要构造两次返回包,使得满足这些判断条件,我们就能够稳稳的进入后台了呢
试试呗,修改第一个返回包
修改第二个
放包!发现已经能够稳稳地进入后台了
?咋啥都没有,估计是构造的东西不对.....
再看看js吧,在后台我们能看到更多前台看不到的js,说不定有未授权访问的接口呢
然而接口没找到,找到了个更好的东西,重置后的密码,应该是经过加密后的
当时脑袋里灵光一闪,直接奔向登录页面,用admin账号提交抓包,在抓包页面直接用重置密码替换密码
进去了捏,应该能算个弱口令吧,还是算信息泄露?
0X01 小洞小洞
进去了再测测功能点
在邮箱推送里看到了重置密码推送的邮件,所有人重置的密码都是一样的,而登录界面的重置密码只需要输入正确的用户名就会直接发送邮件,所以我们只要知道任意的用户名,就能重置他的密码为该密码,登录他的账号,任意密码重置漏洞+1
在某上传点可以上传xml文件
我们将xml里面的内容替换为后上传
<html><head></head><body><something:script xmlns:something="http://www.w3.org/1999/xhtml"> alert(document.cookie);</something:script></body></html>
再访问上传的文件,就能触发xss,获得cookie,应该也能算个中危吧
屁颠屁颠交洞去咯,熬过了难熬的清明节假日,终于等来了审核上班的日子了,准备领工资咯
????????啥情况
密麻麻石蜡 明明是在该公司ip段下,域名是他们的,里面员工也是他们的,头像也是他们的,合着不是他们的资产是吧,大无语了属于是
推荐阅读:
点赞,转发,在看
文章来源:j4m13d's blog
作者:j4m13d