【技术分享】记一次授权渗透测试

编程语言 2023-07-28 18:20:44 阅读次数: 0

前言

近期,小星被授权对客户的某个系统进行测试。本期技术文章,小星将与大家分享在渗透过程中的有趣记录。

开局是一个登陆界面,只有登录和忘记密码的功能点,常规的扫目录、sql注入和弱口令等功能点都无法成功。于是,小星只能把希望放在未授权上,并把js文件翻了一遍,但结果还是失败了。最后求助于甲方客户,询问是否能够提供测试账号方便越权测试,所以才有了以下经历。

###01 系统测试过程回顾

1. 提供的测试账号有两个权限:教师权限和学校管理员权限。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-P7CQYfbi-1689995954004)(https://image.3001.net/images/20230614/1686707683_64891de34eff84eec29b7.png!small)]

2. 点击进入,小星发现教师是可以正常进入,学校管理员则需要短信验证码二次确认才能进入。于是,小星持观望态度,看看是否能先行绕过。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aQZFuNSf-1689995954005)(https://image.3001.net/images/20230614/1686707706_64891dfa432e3cd24f1ff.png!small)]

3.
随意输入验证码,尝试抓包,下图为验证失败的返回包。经过测试,小星发现只要将返回包中的参数code修改为0就可以绕过短信验证码的二次确认,进入校管理员后台。

(ps:也正因为这个绕过,才有了后续越权的下文。)

4. 整个系统测试下来越权漏洞较多,在此不一一举例了,绝大部分都是通过遍历参数的值即可越权访问数据。

###02 加密请求数据测试过程分享

1. 以教师身份进去后台,点击下方的应用。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZWj5TgMi-1689995954005)(https://image.3001.net/images/20230614/1686707730_64891e121dabc3a2b8b14.png!small)]

2. 以当前用户的身份跳转到目标应用,但是发现数据包被加密了。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BHd2gdxJ-1689995954005)(https://image.3001.net/images/20230614/1686707780_64891e44059b81736c48e.png!small)]

3.观察请求包,发现了会跳转到目标的URL,并携带一个token。

4.
小星猜测此处有可能存在越权,但是数据包被加密了,首先需要对数据包进行解密。数据包中参数为encrypt2,全局搜索该字符,发现加密为AES加密,加密模式为CBC,密码、偏移量都已经写在js里面了。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xiDk1nZT-1689995954006)(https://image.3001.net/images/20230614/1686707824_64891e70a77fe7bc85f7b.png!small)]

5.在线网站直接解密即可,解密后的明文数据中存在参数uid和phone两个参数。一般来说,如果存在越权的话,基本上就是上述的两个参数。

6.
因为我们目前不知道其他用户的uid和phone,所以需要手机其他用户的uid和phone。这里就体现了文章第一部分提到的校管理员登录绕过漏洞的重要性了。绕过学校管理员的二次确认,在学校管理员的某个功能点,可以收集到一批教师的信息,其中包含参数teacherId的值。

7.
此处猜测teacherId有可能是uid对这批教师的teacherId进行整理,并使用了AES加密。遍历密文,小星发现一些请求包的返回包中携带token,说明确实存在越权。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rExRMI2P-1689995954007)(https://image.3001.net/images/20230614/1686707894_64891eb6504533572d9c4.png!small)]

8. 替换密文,即可以目标用户的身份跳转到应用,达成登录任意用户账号的目的。

-1689995954007)]

8. 替换密文,即可以目标用户的身份跳转到应用,达成登录任意用户账号的目的。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vYj4V2YV-1689995954007)(https://image.3001.net/images/20230614/1686707915_64891ecbc892e8f2938fa.png!small)]

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【点下方卡片】免费领取:

猜你喜欢

转载自blog.csdn.net/Android_boom/article/details/131865493
今日推荐
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析
周排行
Family Tree 题解
BZOJ 1093 最大半连通子图 SCC + DP
幂等处理
Spring----学习(2)----XML 配置Bean 自动装配
SQL Server 远程更新目标表数据
HIbernate3.6 环境搭建
特殊符号正则表达式
【Linux】第一章 进程的理解
843. n-皇后问题(dfs+输出各种情况)
空间数据库2
每日归档
更多
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)
2024-04-17(5)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022