公众号:白帽子左一专注分享渗透经验,干货技巧….福利领:见者有份|10余本书+渗透工具包,直接送!本文由学员-tony_ge分享,一、开篇小互动随便找了几个站点就开搞,但是挖洞历程属实艰辛,愣是看了不出哪里有洞,于是给它来了一套踩点服务(信息收集)。收集C段信息的时候,发现一个后台管理系统,进去后输入一个admin/123456,发现直接进去了(嗯,不愧是yyds)进去后发现这个后台可不简单,是某个大企业的库存管理系统,而且该企业有自己的SRC平台于是,从一个弱口令开始的漏洞一挖一麻袋历程开始了。二、漏洞一挖一麻袋历程白嫖了一个弱口令漏洞,心想该企业的其他子域名、旁站、C段内会不会也有薄弱点呢于是带着猜想又开始了一系列对该企业域名的信息收集,皇天不负苦心人,终于在某个子域名处看到了端倪。该域名承载的是一个企业子系统,登录界面有验证码,无法绕过进行账号密码爆破,于是放弃,但是该页面忘记密码的功能,进去瞅瞅使用手机验证码的方式进行重置,随便输一个手机号,点击获取验证码,哦豁,提示该用户不存在,这是个好兆头,可以抓包跑用户手机号当然,此处没啥太大的意义,毕竟最多只是泄露一个已注册用户的电话,但是接下来开发的一个逻辑处理让我摸不着头脑可以看到,发送验证码的请求包内除了电话号码,还有个参数type反转来了,将type的值由1改为0、2等数(当时只试过这两个)服务器端不会检查电话号码是否已注册,都会发送验证码再利用前面的遍历漏洞可以对用户手机号进行短信轰炸,事情到这就结束了吗?嘿嘿,如果眼神好的同学可能在上一张截图的返回包内容看到了一些有意思的东西,没错,将type的值改掉之后,他居然将短信验证码的内容也一起返回了,神奇的脑回路….果然是一撸到底,利用返回包内的验证码顺利就进入密码重置界面(因为使用的是之后测试的验证码,所以和前面的截图验证码一样,勿怪)输入重置的密码,报错,显示用户不存在,意料之中,再次请求,抓包瞅瞅如果前面遍历到了用户的手机号码应该可以重置了当然,遍历到了手机号码也不用到这一步再换,前面就可以一套下来,懒得遍历到这里就结束了但是一想这企业的开发脑回路这么清奇,还能账号遍历于是再去该企业的具有登录、重置密码、注册的界面摸索一下,发现果然有,官网账号登录界面(官网登录界面有这个是真没想到),使用手机验证码登录的时候可以进行短信轰炸,这里有个小坑,我一直重放发送短信的请求包最后几个不小心点快了,返回报错,在去登录界面瞅瞅,发现页面返回服务器异常,吓得我直哆嗦~~第二天再去访问的时候,页面正常,漏洞依然存在,这次控制好时间间隔(2s左右),没有出现昨天的情况(事后感觉有点头铁)该企业的挖洞之旅也到此结束了,几个漏洞一起提交了,企业SRC的奖励还是蛮丰厚的。。三、小结因为目前的工作原因,所以接触的大厂系统测试比较多,对于大厂的测试可以着重从逻辑漏洞出发,弱口令、支付漏洞、验证码绕过、越权等漏洞都是存在的,希望有学了课程但是还不敢挖洞的同学能在本贴中得到启发,web的漏洞还是有很多的,需要细心的去挖掘,在实战中学习。
本文出自快速备案,转载时请注明出处及相应链接。
