记一次某SRC的漏洞挖掘过程|挖洞技巧
记一次某SRC的漏洞挖掘过程|挖洞技巧
漏洞挖掘 渗透安全HackTwo 2024-11-17 16:00
0x01 前言
通过对目标公司及其相关子域名资产的深入测试,发现多个漏洞:文件上传导致敏感信息泄露(STS授权信息)、小说网站用户越权访问漏洞(批量枚举用户信息)、未授权接口访问与反射型XSS。过程中结合多种技术手段进行验证,尽管一些漏洞影响有限,但全程提升了对渗透测试中功能点挖掘、越权分析和权限逻辑漏洞利用的实践经验。注意未授权千万不要进行任何测试行为。
末尾可领取挖洞资料文件
0x02 漏洞发现开局只得到目标名字:xxx娱乐传媒有限公司,以及几个个大致的域名类似:.xxx.tv,.yyy.tv等。挑了一个它们公司旗下的一个公益平台进行测试。果然在点击功能点的时候,无意中就跳转到一个机构入驻界面。发现在一个页面存在文件上传传图片发现居然返回了:accessKeyId、securityToken、accessKeySecret信息,心中顿时狂喜由于不知道是那个云厂商,所以先上传了一张正常图片上去,然后右键查看图片的url地址,发现是阿里云。知道了是那个云厂商之后就好办了,祭出CF(工具星球有最新的)准备大干一场,结果发现它是STS临时授权STS临时授权多数都设置有访问权限,基本上只能做一些有限的操作如:文件上传。果然配置好CF之后,无法列举当前凭证下的OSS、ECS、RDS等资源。尝试删除cookie之后,发现依旧可以返回accessKeyId、securityToken、accessKeySecret等信息。理论上返回这些信息是相当危险的,但是由于设置一定的权限。所以这里最多算个低危,之后尝试使用ossbrowser连接登陆果然无法成功。到此,查询了多个资料之后依旧无法对STS进行深入利用,就换了目标。逛了一圈资产表,发现目标里面居然有个小说网站。想着以前没有对此类网站进行测试过,就过去看了看。随便点了一下,基本上许多功能都需要登陆才行。这里就注册了账号进行了登陆,在个人中心处发现了一个有趣的数据包它返回了用户名、手机号、邮箱、头像等信息,发现其中6254969似乎是用户id,就尝试将该数字进行变化,果然数据包发生了变化,但是没有返回其它用户的信息。这里果断又重新注册了一个账号,获取了小号的用户id。然后登陆第一个账号查看id值是否变化,发现id值果然没有变化。然后重新抓包将id值进行替换:成功获取其它用户信息,这里直接对参数进行批量爆破,获取到了大量用户信息。理论上只要有时间,那么全网站的用户信息(包括作者)都可以枚举出来,这样是相当的危险的。其实在上面那个越权测完之后,时间就到了晚上已经不早了(从我做起,拒绝修仙!)。就找找了之前没有怎么看的资产,直到看见了这个网站。开局直接404,连功能点都没有。不过看到这个网站的标题感觉很奇怪,404 NOT Found 后面还跟着一个 webman。据我“肾透”多年的经验来看,事出异常必有妖。直接掏出dirseach对其一顿扫描,果然发现了一个后台地址。在js中发现了几个比较显眼的路径:/admin/index/draw/、/admin/bind/index/、/admin/system/code/、/admin/system/data/,逐一访问之。发现功能接口泄露和大量信息泄露。然后在访问路径的时候,发现了一处xss漏洞这次测试时间挺短的,只有1天多,第二天爬起来的时候资产都还没有扫完,项目就结束了0x03 总结 最后总结“渗透测试 渗透测试,核心还是在 测试 这2个字身上”也得胆大心细才行,只有不断的学习与实践才能变得更强。知识面决定了攻击面。喜欢的师傅可以点赞转发支持一下谢谢!0x04 内部星球VIP介绍-V1.3(福利) 如果你想学习更多渗透挖洞技术/技巧欢迎加入我们内部星球可获得内部工具字典和享受内部资源,每周一至五周更新1day/0day漏洞,报包含网上一些付费工具BurpSuite漏洞检测插件xray企业版等,Fofa高级会员,Ctfshow各种账号会员共享。详情直接点击下方链接进入了解,需要加入的直接点击下方链接了解即可,觉得价格高的师傅可后台回复” 星球 “有优惠券名额有限先到先得!内部包含了网上需付费的0day/1day漏洞库,后续资源会更丰富在加入还是低价!(最近即将再次涨价早加入早享受!)👉点击了解加入–>>内部VIP知识星球福利介绍V1.3版本-星球介绍-HW漏洞威胁情报
结尾
免责声明
获取方法
回复“app
” 获取 app渗透和app抓包教程
回复“渗透字典” 获取 一些字典已重新划分处理(需要内部专属字典可加入星球获取,好字典不对外公开,持续整理中!)
回复“书籍” 获取 网络安全相关经典书籍电子版pdf
最后必看
文章中的案例或工具仅面向合法授权的企业安全建设行为,如您需要测试内容的可用性,请自行搭建靶机环境,勿用于非法行为。如
用于其他用途,由使用者承担全部法律及连带责任,与作者和本公众号无关。
本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。
如您在使用本工具或阅读文章的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。本工具或文章或来源于网络,若有侵权请联系作者删除,请在24小时内删除,请勿用于商业行为,自行查验是否具有后门,切勿相信软件内的广告!
往期推荐
1. 内部VIP知识星球福利介绍V1.2版本-元旦优惠
2. 最新BurpSuite2023.12.1专业版中英文版下载
3. 最新Nessus2023下载Windows/Linux
4. 最新xray1.9.11高级版下载Windows/Linux
5. 最新HCL AppScan Standard 10.2.128273破解版下载
渗透安全HackTwo
微信号:关注公众号获取
后台回复星球加入:
知识星球
扫码关注 了解更多
喜欢的朋友可以点赞转发支持一下