漏洞挖掘 | 开始既结束？快速挖洞

发布于2025年1月20日2025年7月19日作者:cve-20

漏洞挖掘 | 开始既结束？快速挖洞

不秃头的安全 2025-01-20 03:35

开始既结束？快速挖洞****

前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。

还在学怎么挖通用漏洞和src吗？快来加入星球
-考证请加联系vx咨询

由
于微信公众号推送机制改变了，快来
星标
不再迷路，谢谢大家！

前言

好久没有写渗透测试的文章了，因为这段时间工作和其它原因一直没时间，今天就简单水一下某次SRC的思路吧，从信息收集到接管oss半小时时间，国内某制造商，资产不多

本次信息收集采用互联网信息收集(包括不限于：shodan、fofa、hunter、google等)及本地灯塔信息收集，因为时间问题，就简单打点了点资产，端口就选TOP100，没有漏扫

*** 故事情节虚拟、文章仅供交流与学习、请勿非法操作，否则后果自负**

*** 如您认为思路尚可，烦请转发朋友共同学习**

漏洞挖掘阶段

信息收集

使用hunter进行打点：domain=”example.com”&&web.title!=””(此处去除空标题，个人经验，很多空标题的页面没什么内容，容易浪费时间)

看到检索出39条数据，可以配合灯塔做去重，因为有的域名在线引擎可能会漏掉，只要我们的字典够大，灯塔可能就能有意外收获

漏洞挖掘

访问某设备管理网站，打开后，我心头一惊，这不是我亲爱的若依吗，瞧瞧这UI，这URL

于是乎，二话没说先测试有没有shiro框架，以此达到我心中想要反序列化接管主机的邪恶计划

平常是在登录接口中cookie里面测rememberMe来查看shiro框架，这次竟然没有，还好我装的插件爬到了，在图片验证码处可以获取到，于是乎掏出集成工具开始爆破，奈何命有点苦，就算喝奶茶也苦

看来不得不控制你了啊，我估计是开发配置了随机密钥，或者单独设置了密钥

一般情况下，有卧龙的地方必有凤雏，很多用若依框架的，还会用：spring boot actuator、swagger-ui、druid服务，以方便管理，跟着抓到的api枚举就行了，这里用插件直接爬，首先看到了swagger

用swagger-hacker跑了一下全部401，在预料范围内，做鉴权了

接着看到durid，我当时预想的是：弱口令进入druid，在session中看一下有效期内的cookie，进入后台，美滋滋，废话不多说，开干

弱口令没毛病啊，老铁，准备开香槟嗨起来了

但是，等我登进去以后，给我拉了坨大了，直接给我错误了，这对吗

我真的想骂娘，就是一堆的可能存在漏洞的服务在你面前，你又无可奈何的样子

反转来了

这个时候头绪真的一点没有了，因为已知的问题就那些，再看看其它服务吧，不过这个弱口令确实可以交一下，其它服务大部分就是关联到企业微信或者是内部软件之类的，翻来翻去找到一个员工系统

这个时候我来捋一下这个系统的逻辑，以此有一个后面漏洞挖掘的思路：仍然是Java程序，无注册接口、登录需要密码，可爆破，尽管有图片验证码，但是没什么用，短信快捷登录发送后可以快爆破验证码，登录接口可枚举账号，账号格式手机号

有了以上逻辑以后，先枚举一下手机号，考虑到员工在本地的可能性很大，所以先枚举本省的手机号，找到本省的手机号段，用python生成9999个手机号，然后爆破

# 获取用户输入的前7位数prefix = input("请输入前7位数：")# 检查前7位数是否为数字if not prefix.isdigit() or len(prefix) != 7:    print("输入错误，请输入7位数字。")else:    # 打开文件，准备写入    with open("output.txt", "w") as file:        # 生成11位数        for i in range(1, 10000):            # 将i转换为字符串，并在前面补0，使其长度为4位            suffix = str(i).zfill(4)            # 将前7位数和后4位数组合起来            number = prefix + suffix            # 将生成的11位数写入文件            file.write(number + "\n")    print("生成完成，结果已保存到output.txt文件中。")

不出意外的：浪费时间加爆破不出来，我就很无语的不爆破了