原文:https://bbs.ichunqiu.com/thread-63388-1-1.html
信息收集
子域名搜集
打开fofa (这里使用的是fofaviewer,只需要有邮箱和密钥就可以使用了,支持信息导出)
使用:
1.下载完成之后,打开config配置文件,输入正确的信息
|
1
2
3
4
|
[md]email=xxxx
key=xxxxx
api=https://fofa.info
maxSize=100[/md]
|
2.点击jar文件,语法:domain="xxx.edu.cn",一大波信息到手了
密码特征收集
site:"xxx.edu.cn" 密码,发现密码为身份证后6位数
收集学号信息
发现是10位数 前五位为年级加个0 如:20210,后五位为随机数 --->如:2021012345,且一个班级里面的学号还是连续的
渗透测试
测试点1:登录
找到有该特征对应的域名进行测试,的确有一个登录界面,账号为学号,刚刚的信息收集就起作用了
尝试爆破,发现密码没有加密
爆破6位数,注意爆破身份证后6位数是有讲究的:
注意:不是简单的从000000到999999,因为后六位的前两位是生日,生日有某月99号出生的吗,所以应该设置为010000到319999,burpsuit配置如下图
开始爆破
302跳转后成功登录,弱口令一枚
测试点2:文件上传
结合之前推荐的浏览器扩展,发现一个asp.net
写一个对应的一句话木马,这里非常简单就绕过了,只需要加一个空格号接可以绕过,可惜没有返回文件路径被重定向了,但是有个预览功能,但是没有解析代码。
注意:不要沮丧,文件上传漏洞除了getshell以外,还可以搞个存储型xss,所以上传一个html,弹窗不就好了吗,一般命中率很高
试一试payload:
|
1
|
<script>alert(1)</script>
|
上传成功
点击预览,你看存储型这不就来了吗
测试点3:留言
留言第一个想到的就是存储型xss试了,尝试各种闭合,技术有限没能成功
注意:不要沮丧,留言除了测试存储型xss,还可以测试水平越权,多抓包看看
修改一下sno学号,再点击send 抓回包
这个时候要验证是否成功就需要拿到另外一个账号,同样的身份证后六位爆破,成功登录,查看留言果然成功,越权到手
测试点4:api接口
这个时候上一篇文章推荐的浏览器扩展:findsomething就该派上用场了,发现有这么多带参数的url
全部丢到sqlmap里面跑,一个没跑出来,好家伙可能是sqlmap版本有点老了该更新一下咯,因为我用xary跑出来了
注意:在做授权测试时,可以挂上Xary,他可以分析你发的几乎每个请求,但是具有一定的破坏性,所以未授权的话,还是不要用
这里我的Xary就报警了,是一个时间盲注,用BP一测试,果然是存在的,一个sql注入到手,至于发现sql注入之后,还可以继续测试,例如写入shell啊,来扩大危害,这里作者觉得不太好就没有进行尝试
测试点5:修改密码
这里发现,修改密码不需要任何验证点击更新信息即可,测试了越权,xss,没有结果,测试了CSRF,果然是存在的,可惜不收
除此之外我还测试了各种越权,以及尝试了解密身份验证信息,由于使用的是AES加密,要密钥,技术有限没能成功
总结:弱口令寻找很重要,另外知识面决定测试点,相信肯定还有很多测试点是我遗漏的,继续学习吧!
希望这篇文章对您有用!