edusrc漏洞挖掘链-思路总结(三)
| 漏洞点 | 漏洞挖掘链 |
| .net程序-未授权访问 | 收集*.xxx.edu.cn子域名 ===》 httpx观察子域名响应 ===》 403响应(一个子域名带admin) ===》 .net的程序的403===》尝试后台和越权路径 ===》 绕过存在admin/login.aspx ===》 测试路径admin/top.aspx和admin/main.aspx ===》 成功访问后台 |
| Sql注入 | 抓取到通知的请求包--->包含id参数--->单引号报错(存在注入)--->确定数据库类型--->对应的注入构造 |
| 登录绕过 | 登录--->提示平台正在维护(error)--->查看前端源码--->登录模式(submit(login)、sumbit(error))--->将数据包中的lay-filter=”error”改为lay-filter=”login”。即登录成功 |
| 文件上传+XSS | 上传照片处--->将filename改为xxx.html--->内容为XSS payload |
| 微信小程序任意用户绑定 | 第一次打开小程序--->抓取数据包--->返回数据包中显示微信号未绑定+一个陌生参数值(其值为数字)--->修改为其他参数--->可查看其他用户的相关数据(并可进行一切用户可进行的操作) |
| 任意手机号注册、登录 | 使用任何手机号--->进行账号注册(登录)--->返回的数据包中返回了验证码 |
| 敏感接口泄露 | 同一ip下发现了更多的接口文档--->xxx/Employees/id--->然后使用get请求方法--->获取到任意id参数代表用户的数据 |
| 水平越权 | 在服务中心--->有很多模块--->点击跳转到其他业务模块--->在此时抓住跳转的数据包--->然后将学号对应的参数--->改为其他学号--->水平越权到其他的账号上去了(相关的操作也可以测试水平越权操作) |
| 信息泄露 | 点击申请的功能--->抓取申请的数据包(post)--->返回敏感个人信息--->修改post数据包中鉴别判断用户身份的参数--->此处改user-id--->返回任意对应账号的用户信息 |
| 水平越权 | 在学生申请xxx的地方--->修改post数据包中带的学号信息--->替他人进行了申请 |
| 后台越权访问 | GET请求/user接口--->拦截返回的数据包--->将permission参数改为1--->直接出现管理员后台--->然后每一步请求中都需要修改返回数据包参数为1 |
| 越权操作 | 有管理员账号后--->将管理员执行的操作保存--->退出管理员登录--->重放一遍管理员执行的操作(也可以通过使用BP的插件,来鉴定是否有越权) |
| 隐藏菜单 | 右键查看源码--->查看到前端有一段自定义的menuClick菜单函数(并且使用case语法)---->case语法中带有相关的路径(只有一部分)--->将路径拼接--->访问管理操作界面(需要注意的是路径的拼接,未透出出来的路径多半是加密的路径,在考虑前端加密的情况下,还要使用已有账号尝测试) |
| Xss点击弹窗 | <form><button formaction=javascript:alert(1)>CLICK ME |
| 变量覆盖 | 注册账号admin--->提示账号已经存在--->注册账号admin1--->抓取数据包修改为admin--->这里有2种情况,有防护的话,那么会报错,如果无防护就直接注册成功了 |
| 越权 | 获取到管理员账号--->在使用账号登录到后台的时候抓取返回数据包--->会有参数对权限进行验证--->如将value值的false改为true等(可能会有多个参数需要修改,比如2改为1等)(如role由2改为1可能变成超级管理员) |
| 爆破 | 输入学号+错误密码---->提示学号错误--->根据提示信息使用BP爆破学号(先问问他们群看看他们账号组成)--->然后使用(大量)学号+一个(或多个)弱口令爆破 |
| 字典制作 | 随着安全意识的提高--->弱口令成功的概率已经变得非常微小--->每次针对不同的系统的时候--->收集制作对应的弱口令字典 |
| 任意文件删除 | 首先有删除按钮--->修改post请求包中的id(为管理员文章、或其他用户文章)--->删除任意文章(或者添加删除参数尝试越权删除,如_xxxid_delete_action=1、action=delete等) |
