小白菜入门教育src挖掘的个人经验总结
2023-4-13 08:1:38 Author: 李白你好(查看原文) 阅读量:67 收藏

宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把李白你好设为星标”,否则可能就看不到了啦!本文由KillerQueen投稿至李白你好,原创文章投稿有红包奖励,欢迎大佬们前来投稿!

0x01 工具篇

工欲善其事必先利其器,先介绍一下挖洞使用的工具

工具:信息收集:arl灯塔,fofa,漏洞扫描:xray,目录扫描:drisearch7kbscanjs文件扫描:jsfinder,各种nday检测工具,代理工具:burpsuite
火狐插件:由于查找是否有js敏感信息的findsometing,代理流量的foxproxy
工具怎么用,就不详细介绍了百度多的是

0x02 信息收集

两种打点的信息收集思路

1、fofa+arl联动,用arl先对fofa上的资产梳理一遍,做一些轻量的漏扫和目录爆破,此次过滤可能会出一些敏感信息如/v2/api-docs,/swagger-ui.html,druid,Jenkins未授权访问,和一些服务弱口令问题,都是捡rank好方法。

2、oneforall跑出子域名+httpx进行大规模信息收集,打点,这种方法就是范围广,没有那么细致,但是能收集到一些banner,中间件,服务端语言,框架等信息,具体语法可以自行百度。

以上两种方法都不能百分百收集完整,还需要其他方法配合进行信息收集,网上很多信息收集的文章,可以多去学习学习。

关于弱口令

个人不太喜欢一上来就拿大字典爆破弱口令,除非实在没办法,一般手测几个弱口令:admin admin admin12345 password 123456 admin888 admin666 大概这几种。遇到cms或者设备可以网上搜索用户使用手册,尝试手册上的初始密码登录,其中设备的rank是比较高的,弱口令的rank在2-6左右,弱口令没什么方法,纯靠运气。

案例:

某次在arl里发现的一个安全设备,通过查找用户手册找到了弱口令admin password$123登录成功,拿下某证书站大学

0x03 思路一弱口令扩大危害

通过弱口令进入后台扩大危害,看看能否文件上传getshell或者扫描到api接口,进行未授权访问测试越权测试,进一步信息收集查看存在漏洞的组件版本信息进行进一步的利用打nday。

案例一

首先在arl里,通过挂了个xray的被动扫描,在一个学校的登录框测试到了弱口令进入了后台,通过翻找文件上传处,无法上传shell后,通过对系统设置处的仔细信息收集,发现该系统搭建在版本号为5.0.4的thinkphp上面,(这个框架一开始是没有收集到的)。网上搜索得知该版本存在一个RCE,再用tp扫描工具扫描出结果后,我再进行百度,手工复现后发现可以利用,但是系统禁用了很多函数,getshell有一定难度,只验证了phpinfo()。

案例二

grana的弱口令进入后台,不符合任意文件读取那个版本,由于grafana是用来看服务器监控的,很多新手可能会因此错过另外一个漏洞,只要百度用得好,就可以发现grafana有个后台ssrf的nday,进行利用,有分为什么不要?

案例三

arl扫出来的一个接口,未做鉴权。

仔细的你,会信息收集发现到jeeplus这个开发平台,那我们就网上搜索有没有nday呗,百度到了有个sql注入,进行利用。

手测这边直接报了个user为root的信息,用sqlmap报错注入跑出数据库的账号和哈希密码,但是管理员密码用sha224加密无法碰撞,但是有了用户名,抱着尝试的心态用burp的intuder跑了一下top1000,结果出了个弱口令123456进入后台

0x04 思路二看数据包挖逻辑洞

很多时候我们可能不能用弱口令和信息收集到他人的用户和密码,此时自己注册是一个很好的方法。

案例一

先注册了某大学招聘平台两个用户,在修改个人照片时候抓了两个用户的包,其中发现userid是连续的,且数据包均有userid,尝试看看鉴权点是否为userid,修改其值可以进行水平越权,修改其他用户信息操作,答案是肯定的。

用burp抓包,修改个人信息处记住两个id号,再修改A的信息时候换成B的id值,再登录B的账号查看是否被修改信息,来进行验证该逻辑缺陷,再根据该指纹fofa搜索进行一洞多刷。只找到了三个。

案例二

水平越权逻辑缺陷,鉴权过于简单,phpsession作用几乎形同虚设,和案例一一样,你需要注册两个账号,修改资料处抓包

该案例的两个用户id是130和131

分析一下,这个是魔改tp框架的,工具检测不出来有什么nday可以用,但是却发现了,在cookie处,用户信息都在这边,并且有很神奇的id值,那就修改看看wsuser_id

抓包后修改cookie处的wsuser_id的值,从130改成131并且修改资料处的内容,登录另外一个账号,查看资料,发现成功被修改,拿下某证书站大学

还有一些蛮重要的未授权访问。Jenkins,druid,jboss。这些知识可以平时做一些漏洞复现积累一下,具体的就不一一发出来了

案例三

jenkins未授权命令执行

0x05 往期精彩

tql高质量爆破字典,提高渗透效率!

一次简单的渗透测试记录


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247498059&idx=1&sn=1652737fe1b0864ffb11353757cd5034&chksm=c09a8a1bf7ed030d02dddb0dc4eb64f381b9fe4de6d7ebaf928c67604e80286426fd59f3463b#rd
如有侵权请联系:admin#unsafe.sh