某省攻防实战。通过多层绕过。成功不要密码拿下一个后台。包括各个学校账号密码，等相关敏感信息。为后续打下坚实基础

由于漏洞应该还未修复。对于数据和相关网址打个码见谅一下

常规思路（爆破）

常规操作进行一波
尝试弱口令然后开始爆破
对于此种有验证码的爆破，可以借用一个bp插件。
captcha-killer-modified-jdk14.jar

具体使用我就不说了。有很多大佬的文章都有细讲。
爆破常规并不可行。

思路不通就抓包

登录之后抓取返回包

发现有相关的编码返回。感觉是前端进行一些跳转的相关问题

搜索js

经典改包。00@#

绕过第一步检验 但是直接被强制退回

本来想直接放弃了。准备试试其他的靶标。
但是越想越气，md继续打

再次js，感觉既然登录可以跳转。再次试试呢

抓包到这个强制返回页面。定住之后。因为很多网站是对于一个特定的页面加载特定的js。在那个页面查找相关js

分析可知，几个id的参数进行验证

感觉是后端验证

感觉还是g了。完全不知道怎么办了。点了半天也不知道这个玩意是咋验证的。感觉像是后端验证，构造数据包也并没有成功。哎。准备放弃了。但是看见我队伍的排名已经不能在看了。md再来

遇事不决，继续抓包

发现返回包是html。感觉好像不是特定一些鉴权方式。然后翻啊翻啊突然在返回包之中看见。

这不是上面那个js文件里的相关id吗。
然后想了一下我的html垃圾基础。加一个value值是不是就可以。那么全加成1试试看

但是结合上面的js审计。必须保证roleid的值为1

带着bp开启点点点。点到一个功能点

然后经典被重定向到登录框 哎（真g了吗）

截图当时没截图哎，当时确实没用任何的办法。

只能继续抓包康康了

一看，又根据我的前端垃圾基础，看到一个隐藏的返回包

哎嘿，又是html返回。是一个js重定向在返回包里。
哈哈哈哈，直接删除。成功绕过。

然后就是大家都会的。改参数。把schoolid改了。
成功跳转下一个接口

然后正常访问。没有任何数据。
经典遍历参数进行看数据
然后抓取返回包进行修改。成功吧数据返回到前端进行渲染

成功获取数据。哦吼

哦吼。成功知晓整个验证逻辑。那么就开始吧所有功能点进行绕过即可

然后就是抓接口遍历参数进行扩大数据量

里面是电话号码和密码
数据量非常大。（基本上各个地区里面学生的信息泄露）基本上每个id后面都有相关的参数

对于现在很多网站。多抓包，多分析js和看接口的习惯一定要养成。
通过分析，去理解整个的业务流程。并且造成组合拳才可以造成危害更加高的漏洞

来源: https://forum.butian.net/share/2542

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！