挖洞其实算是web渗透中第一个明确的关卡
越过这个坎,从此天高任鸟飞,海阔凭鱼跃。越不过,就永远越不过。
先说平台:
漏洞响应平台:实战渗透测试,同时能获得一些外快。
补天漏洞响应平台:https://www.butian.net/
漏洞银行:https://www.bugbank.cn/
阿里云漏洞响应平台:https://security.alibaba.com/
i春秋SRC部落:https://www.ichunqiu.com/src
腾讯应急响应中心:https://security.tencent.com/index.php
漏洞平台列表:https://www.anquanke.com/src/基础不扎实,经验不足,稍微大一点的厂商,一个WAF就拦住了无数人,导致信心大失,一蹶不振,来说一些机会比较大的漏洞。老生常谈的信息收集,漏洞分类,子域名挖掘等等就不再赘述。漏洞挖掘不仅限于SQL注入、命令执行、文件上传、XSS,更多的可能是逻辑漏洞、信息泄露、弱口令。
本文分析一下逻辑漏洞,有很多小白第一个漏洞都是逻辑漏洞。
当然Web程序也不仅限于网站程序,漏洞更多的可能是微信公众号端、APP应用程序等等
下面总结一下挖逻辑漏洞的思路。
SRC常见的逻辑漏洞类型
0x01 0元支付订单
使用抓包软件抓包,通过分析向服务器传输的数据包,修改支付金额参数来达到欺骗服务器的效果,当然这只是最简单的思路,实际上几乎遇到不到这种。
0x02 越权查看信息
何谓越权?越过自己能够行使的权利来行使其他权利,通俗来讲,看了自己不该看到的东西,做了自己不能做的事。
用户间越权:
比较管理员和普通用户、用户之间存在权限差异处,包括:
1、 GET:抓取对目录及类名的请求(URL层)
2、 POST:关注任何请求/API,具体的方法(数据层)单用户内部越权:
1、 灰化按钮,审查元素绕过前端检验
2、 单业务处上下条数据之间是否存在权限差异(编辑/查看)
3、 多业务是否公用方法可以篡改权限或数据 b、案例分析:同程机票越权添加卡包,漏洞实例传送门:http://sec.ly.com/BugDetail?id=167225056174242138247150224042057206254063148243 添加某项信息->抓取数据包->切换用户->复现数据包->成功操作->漏洞存在案例分析
雅虎任意评论删除
参数为:
comment_id=139967299182-588b2cdd&content_id=485d5605ea9&crumb=DcUNKWnp7%2F8
其中comment_id代表不同用户的id,使用另一个账户victim登录并评论,抓取comment_id并替换,返回200的json数据:
但再次尝试其他评论时,却返回401鉴权失败:
经过反复测试,发现只有攻击者是第一个评论者时才能删除后面的任意评论,开发者遗漏了对第一个评论者的鉴权验证。
0x03 用户密码重置
密码重置的姿势五花八门,说几个常见类型:
(1)修改密码的验证码返回到Web前端进行验证,也就是点击获取验证码后,验证码返回到网页的某个hidden属性的标签中.
(2)请求获取修改某账户密码时,修改发送验证码的手机号为自己的手机号,得到验证码,成功修改指定账户密码.
(3)修改密码处的验证码的验证次数或者验证码有效时间未做限制,导致可爆破验证码,当然,6位验证码比较花时间,4位秒破.
(4)通过修改URL中的用户名参数,从而达到直接请求最终修改指定账户的密码.
(5)抓取关键步骤中的POST数据包,通过修改POST数据中的UserName参数实现任意密码重置.
(6)邮箱验证时,重置账户的URL重置密码规则有规律可循,导致重置任意用户密码.
0x04 无验证码的撞库危害
何谓撞库?可以使用其他泄露数据库的账户密码来登录另一个网站。而我个人的理解是:用户登录接口未做限制,导致可无限爆破用户名及密码
无验证码的登录界面是每个人最愿意看到的,这样就可以展开开心的爆破了,就算无法爆破出正确的帐号密码,但是只要存在撞库危害,SRC一般会给予通过,撞库的危害程度取决于业务是主要业务还是边缘业务
0x05 验证码失效的撞库危害
登录界面存在验证码,但是验证码只会在刷新当前URL时才会刷新,这会导致提交POST数据包时验证码的失效,从而导致绕过验证码的爆破
0x06 短信接口未作限制
短信接口未做限制可导致短信轰炸,邮箱垃圾邮件轰炸,语音电话轰炸,危害系数较低。
0x07 枚举注册用户
当我们在登录处输入账户名时,点击网页的任意位置,网站会自动发送请求验证账户名是否正确的数据包,此时即可截获数据包进行用户名的枚举。
我这里也整理了一份SRC相关文档资料等,这份完整版的资料已经上传,朋友们如果需要可以微信扫描下方CSDN官方认证二维码或者点击链接免费领取【保证100%免费】
