实战|记一次src挖洞实战
发布日期:2024-05-24 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370
前言 在学习了大量web逻辑漏洞的知识后,想进行实战。练练手。作为小菜鸡的我,这是我第二次进行实战挖洞,可能会存在许多问题。望各位大师傅多多指点。 闲话少说,直接开整 实战 1.信息收集 首先,在src中找了一个网站应用,获得其域名地址为 “****.****.com”。 接下来就是一些常规操作(信息收集)啦。。。 1. 域名反查IP 我使用的是“超级ping”网站,不仅可以查看域名对应的IP地址,还可以查看其网址是否使用CDN技术,至于CDN技术是什么,我就不多说啦。 可以查到该网站的ip,并且可以发现从全国各地发起的ping命令,对应域名的DNS解析地址均相同,故可判断该网站没有使用CDN技术,这样就好办了,不用为找网站真实服务器IP而发愁了。 2. 子域名查看 对该网站的二级域名 "***.com" 进行下一级域名的爆破,为了避免自己的IP被封,直接使用在线的子域名爆破网站。 我使用的是这个网站“http://z.zcjun.com/” 发现爆破出了不少的子域名,留着后面用。 3. 查看该域名是否存在旁站 旁站就是在同一台服务器上搭建的多个网站,使用同一个IP地址。在目标网站无法攻击成功时,若他的旁站可以成功攻击并获取相应的系统权限,这势必会影响到目标网站的安全性,应为已经获取到同一台服务器的权限了。 我使用的在线平台是”https://chapangzhan.com/“ 发现该IP下,只有一个域名。故不存在旁站。 唉,少了一条攻击思路。。。 4. 网站CMS指纹查询 有些网站是直接使用网上的建站源代码直接搭建的网站,通过识别其指纹,可以发现其是使用哪一套源代码搭建的网站。然后再使用搜索引擎搜索对应源代码存在的漏洞,这样就可以直接进行利用 我使用的平台是“http://whatweb.bugscaner.com/batch.html” 虽然没有识别出网站的CMS,但是识别出了网战的WAF和Web Server等重要信息。 5. 敏感目录收集 由于我这次着重练习的Web逻辑漏洞,敏感目录收集就暂时不进行了。 更重要的原因是网站使用WAF防火墙,当我进行敏感目录扫描的时候,会从同一个IP发出大量的数据包,IP会被封掉的,那就没得玩儿了。 信息收集就告一段落了。。。 2.正式实战开始 首先,打开官方网页,发现了”登录注册“功能,那就从这里开始吧,看看其是否存在逻辑漏洞。 在这个功能点处,需要输入“手机号”和“对应发送的短信验证码”进行新用户注册。 这里不得不吐槽的是,连一个图片验证码都没有,这也太不安全了吧。 第一个点:可以枚举出注册了该网站的用户的手机号码 虽然我知道这可能都不算一个漏洞,水一下,哈哈哈。。。 该注册功能会在点击获取验证码之后,会将输入的手机号传送到服务器后端进行验证是否已经注册,并将结果返回到前端。 1.手机号已经被注册了,后端返回的数据包 2.手机号没有被注册,后端返回的数据包 由于该注册功能,并没有使用图片验证码机制进行防御,故可以将客户端用于检验手机号码是否注册的数据包发送到BURP的intruder模块进行枚举。 这样就可以爆出注册了应用的用户手机号。 修复手法:在注册处,添加图片或者其他类型的验证码,以减缓攻击者的枚举速度。 第二个点:任意手机号注册 在该网站的注册处,本应该使用“用户的手机号和其手机上的验证码”来进行注册,但可以通过修改服务器后端的验证码校验状态码,来绕过验证码的验证,进行任意用户的注册。 这个漏洞是怎么发现的尼。。 我在检测注册功能时,使用burp一个包一个包的查看,分析每个数据包中参数的作用以及整个注册的实现流程。就发现后端返回的数据包,总是包含状态码,故猜测用户注册使用的验证码时,使用前端验证。 1.输入任意的手机号码 2.点击获取验证码,并使用burp抓包 发送的数据包: 返回的数据包: 显示该用户没有注册。 中间就是一些没有什么用,这里就不截图浪费时间了,直接到最关键的一步。 3.修改服务器后端的返回状态码,实现任意用户注册。 随便输入验证码,使用Burp抓取数据包 发送的数据包: 使用burp中的intercept-->Response to this request截获该请求的相应数据包。如下: 然后就是更改状态码为正确状态码,(我是怎么知道正确的状态码尼?我在使用自己手机号注册时,得到了正确的响应状态码) 修改后,如下: 放行后发现注册步骤直接进入下一个步骤, 然后就是正常的注册,(填入一些实名信息,以及企业名),就注册成功了,成功页面如下: 大功告成啦。。。开心.jpg 还有这里在注册时,还会要求出入企业的名称,若企业名称已存在,其会报出“企业名已存在”,通过这个点也可以枚举出,注册了这个网站的企业名称信息,这里就不再重复第一个操作了。 修复方案:一些比较重要的验证操作一定要放在后端服务器进行处理,不要过度的相信前端JS代码。 文章来源:作者:阿菜,freebuf.com 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END