扫码领资料
获网安教程
本文由掌控安全学院 - kpc 投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
文章中敏感信息均已做打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!
一、前言
现在的web站点挖掘难度越来越大,有时候能进入一些学校的内部系统也是非常重要的,虽然该系统并没有提示密码的规则,但也可以依靠信息搜集来尝试一些简单的密码规则,比如初始密码就是学号或者身份证后6位,依靠这个思路,有时候会有非常大的收获。
二、通过信息搜集获得敏感信息
搜集学号等信息我常用的有以下几种方法:1、浏览器直接搜,如XXX大学学号 2、fofa 这里的思路是搜集某大学的公示、成绩、名单、奖学金、转专业……这些关键字眼会让我们更快的找到学生的个人信息 3、直接去学校官网去搜,进入学校官网,我们可以从学院分布下手,比如很多学校官网都会有学院设置,包含了XXX学院,我们可以进入某学院,之后再在该学院的通告、公式中找寻名单等关键字。4、某音、某书等社交平台去搜 按照这个思路,成功在某学院的公示文件中找到了敏感信息,本来只是想要学号,没想到sfz也给了:
img
既然获得了这些敏感信息,那么肯定要去试一试该校的内部系统是否能进去扩大攻击面。直接用鹰图搜集资产:(domain=”XX.edu.cn” || web.body=”XX大学” || web.title=”XXX大学”)&&(web.title=”系统” or web.title=”平台” or web.title=”管理” or web.title=”后台”)&&ip.country==”CN” 这样搜集出来的资产既包括学校资产也包括存疑资产,攻击面更广,而且搜集出来的全是系统、平台这样容易出洞、好测试的资产。经过不断测试,发现该校的学工系统存在默认密码,即身份证后六位:
img
于是通过上面信息搜集获取到的sfz一个个试,运气不错,成功捡到一个使用默认密码的:
img
没办法,为了之后的测试,只能修改这位同学的密码了,渗透测试结束再改回原弱口令密码即可。
三、多个漏洞打包
成功进入该校学工系统后,我们首先要判断这是什么框架、语言,然后根据这些语言的特性去针对性的测试,如果是java就重点测越权,如果是php,net就多关注SQL注入等。通过插件,也可以看出该系统是net:
img
那数据库大概率是mssql了,mssql常用的注入方式:1、有回显:直接用报错注入 2、无回显:用正常的盲注即可,时间或者布尔
a.SQL报错注入
进入系统后,注意到公告处有某条目,而且是通过id传参的:
img
通过burp插件xiasql确认后是数字型的,所以直接把id换成数据库名称函数db_name()即可报错注入:
img
原理:将不同数据类型的数据进行转换或对比时,如果转换的是有关查询语句或函数等,那么就会触发报错。本来id是数字型的,直接换成输出数据库函数,这个函数像整数转换时就会报错,直接获得数据库名。如果id是字符型的,就用这个payload:id=1’and+1=db_name()— 原理和上面相同,只是要闭合单引号。
b.SQL布尔盲注
在邮箱中,发现每条邮件也是通过id传参的,属于是不同接口了,但是这里并没有显示报错信息,只能用盲注了:
img
构造的布尔语句为真则正常返回200,否则直接302:1=1:
img
1=2:
img
接下来开始进一步获取数据,先获取数据库长度:
img
发现到7时,正常返回200,说明语句为真,数据库长度为7,其实到这里已经可以提交了,不过这个没有什么waf,我直接把库名也跑出来了:
img
直接设置爆破点,截取数据库的第一位,第二位…即可判断出库名,最后得到的和报错注入的也一致,证明布尔盲注没问题。
c.XSS+逻辑越权组合拳
我们遇到id是一个简单的可遍历的数字时除了注入要测,当然也要测越权,修改id值看是否能越权到其他用户的信息,按照这个思路也是成功在修改家庭信息的模块找到了越权,遗憾的是这里没有注入,过滤的非常严格。(这里讲一句局外话,大家测试时一定要每个功能都测一遍,因为可能一个系统是由多个开发完成的,每个开发的习惯、水平都不一样,千万不能测一两个功能发现没有出洞就直接放弃,说不定其他功能就有洞。如果测试到了某个漏洞也是一样,说不定其他功能点也有类似的漏洞,这样才能增加出洞的概率。):
img
修改rid即可跳到其他用户的家庭信息界面,而且可以任意修改,既然可以修改,那自然要试试XSS可不可以触发了,如果可以直接扩大危害,测试一番后成功触发:
img
四、总结
正如上面所说的,通过信息搜集才能获取更多的资产,进入更多的系统,进入系统后要根据语言、框架有重点的测试,测试时要各个功能都要测试一遍,不能想当然的认为每个接口都一样校验的非常严格,挖到一个漏洞时也要把其他类似的功能测试一遍。希望这篇文章可以帮助各位大佬,天天上大分。
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+靶场账号哦
分享后扫码加我!
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
点赞+在看支持一下吧~感谢看官老爷~
你的点赞是我更新的动力
