【幼儿园】edusrc挖掘链-思路总结(一)
| 漏洞点 |
测试路径 |
Payload |
总结 |
| VPN(弱口令) |
1、开源信息(GitHub、使用手册、搜索语法)-学号-人名-密码规则---->弱口令进入 2、寻找到了内网请求跳转url(被加密)--->逆向加密算法 |
字典爆破、加密的逆向 |
搜索公开的敏感信息、生成字典爆破 |
| 已有账号(水平越权+垂直越权) |
1、功能点(对身份验证的参数)--->改的学号--->越权查看他人信息 2、将学号--->admin 功能点,在请求数据里面知道了未完全加密的参数type=stu参数---->teacher 3、修改密码--->返回包中存在敏感信息(电话、邮件等) 修改密码--->请求数据包中的userid修改--->任意密码重置 |
property value(参数值的修改,学号) Type参数的寻找并修改 通过有身份鉴定的功能,查看是否能返回当前人的敏感信息 Id类型的敏感参数的修改 |
1、身份鉴定参数值的修改 观察每一个功能点的返回数据包 3、请求包中的敏感参数 |
| 校园地图服务系统(未授权访问系统的目录) |
Dirsearch扫到springboot目录--->工具分析出内存信息--->post构造数据包--->rec(带回数据) |
Dirsearch、Eclipse Memory Analyzer |
寻找未授权访问目录--->获取到敏感信息--->rec |
| 信息泄露 |
通过谷歌语法(原本找注入漏洞inurl:.php?id=1)--->找到了信息泄露 |
谷歌语法 |
熟悉谷歌语法 |
| 批量挖掘 |
爬取edusrc中指定的测试对象(如只爬sql注入)---->使用脚本poc进行批量测试 |
大量Poc |
存在同一漏洞的xx单位 |
| 后台弱口令+文件上传getshell |
1、站点的各种目录爆破找后台--->单引号报错、双引号正常--->万能密码进入 2、后台上传功能点--->%00截断--->getshell |
找后台、找功能点 |
大量的寻找网站后台 |
| 用户名漏洞 |
弱口令进后台--->用户名改为admin(修改个人信息)--->自己变为了admin |
参数的测试 |
想办法把自己变为admin |
| 后台的Nday |
找到了后台--->发现了使用的系统(老系统)--->cnvd等漏洞平台找已知漏洞--->复现nday |
Nday |
识别使用的系统(cms) |
| 管理软件的nday |
信息收集各种资产--->找到一个标有“用友”的管理网站--->测试nday |
Nday |
找大量的资产(直接标识所使用的系统cms) |
| 弱口令+sql注入 |
1、谷歌搜索语法--->工号+密码组成--->爆破 2、拦截所有参数--->加单引号--->报错(存在注入点) |
爆破+单引号 |
账号的重要性、每个参数都测试sql(建议脚本测试) |
| 弱口令(看日志)+返回敏感数据+html(xss)+手机验证码复用 |
1、管理系统(弱口令)--->查看了工号的登陆日志--->登陆了教职工的后台 2、观察返回数据吧---->敏感信息泄露--->修改身份鉴别的参数(userkey爆破)--->泄露了大量个人信息 3、上传HTML界面(可以被解析执行)---->XSS 手机验证码复用 |
管理后台能否看日志、Html(xss) |
|
| 万能密码、未授权访问 |
1、找存在可能有注入的站点(登陆界面)--->跑poc(万能密码) 2、某厂商存在未授权访问--->然后把所有使用改厂商的单位跑一边 |
万能密码、未授权 |
找到一个漏洞后,大量测试 |
| 忘记密码+首次登陆修改密码验证(越权登陆) |
1、第一步使用目标邮箱+账号,在第二步发送邮件的时候,修改为自己的邮箱 2、isFirstLogin参数验证是否首次登陆(修改的返回包)--->修改值为yrue--->直接修改密码 |
特殊含义参数的修改 |
找一些判断参数 |
| 前端验证+xss(获取到管理员cookie) |
密保信息前端验证 各种地方都插xss-payload--->获取到管理员cookie |
Xss-payload到处插 |
Xss-payload到处插 |
| 登陆界面后台URL泄露 |
查看登陆界面处理的源码--->找到了跳转的url(main.php)--->直接访问(session.php身份验证)--->修改返回数据包(删除错误信息,改为true) |
分析前端登录跳转逻辑 |
找后端跳转界面,修改返回会数据包 |
| 无验证码登陆界面爆破+越权修改密码 |
1、找到无验证码的登陆界面(找到账号密码规则)--->爆破 2、修改密码功能,修改请求数据包loginname---->实现越权修改密码 |
脆弱边界 |
寻找看似老、旧的系统(不安全) |
| Sql注入 |
登陆界面(index.aspx)--->sqlmap跑出注入点(存在万能密码) |
Sqlmap |
登陆界面存在注入点===存在万能密码 |
| 弱口令 |
厂商(存在大量单位使用)---->用户手册--->跑默认的用户名+密码 |
寻找默认密码 |
通过默认账号密码跑大量的同一厂商的系统 |
| 联动批量的漏扫 |
FOfa+rad+burp+xray |
注意动作尺度 |
|
| Api接口泄露 |
1、http历史流量--->api接口--->访问这个api接口--->暴漏出很多URL--->某些URL存在某个信息 2、有用户敏感信息后进行更多操作 |
Api接口 |
http历史流量找接口、忽略的细节 |
| Sql注入 |
URL中存在id参数--->sql手工测试存在注入点--->sqlmap工具测试 |
Sql-payload测试 |
先payload,再sqlmap |
| Cookie伪造 |
Cookie使用base64加密--->解密--->用户id_用户名_权限id--->admin账号的伪造 |
Cookie的加密方法识别 |
Cookie的组成解密 |