记录一次独特的Fuzz技巧从而接管28台云服务器包

0x01 前言       我们知道Fuzz Testing (模糊测试)是一种测试方法，而对于目录Fuzz而言，取得的成效跟字典有着密切关系，下面我将记录一次自己的Fuzz思路从而接管28台云服务器包括支付集群并取得万元赏金的过程。 0x02 漏洞背景       一次众测项目，厂商提供了一批域名，我们针对一个域名进行测试，称此域名为http://www.target.com/wq1/login.html。 0x03 漏洞挖掘过程 1、观察此域名，着重观察wq1，其实也没啥好观察的，前面俩个小写字母，外加一个阿拉伯数字。构造三位参数的字典，每一位都从0-9以及26位字母中选取，保存为1.txt。 使用dirsearch对域名进行探测，命令为 python dirsearch.py -u http://www.target.com -w 1.txt 我们从中得到如下信息。 301 -  232B  - /ax1  ->  http://www.target.com/ax1/ 访问http://www.target.com/ax1/，返回404页面，继续使用dirsearch对http://www.target.com/ax1/进行目录探测，发现http://www.target.com/ax1/druid/login.html返回200状态码。 2、访问 http://www.target.com/ax1/druid/login.html，发现常用的admin/admin，admin/123456，druid/druid，druid/123456等无法登录，由于druid登录界面一般都无验证码以及错误次数限制，我们构造字典使用burp对其进行暴力破解，模式为Battering ram，成功爆破出账号密码，为adminstrator/adminstrator。 3、进入到druid页面，我们关注druid/weburi.html页面，里面有网站访问url的记录，我们使用正则表达式将其提取出来。提取的时候，我们从druid/weburi.json中进行提取，原因有俩点： （1）druid/weburi.html中长度过长的目录显示不全，超长的部分会用省略号代替，提取后会不完整。 （2）druid/weburi.html中目录过多时，网页不一定能及时刷新出来。 5、将提取的目录做成字典，对其进行爆破，发现一个json目录返回了200其返回字段中带有acesskey字段。 6、打开行云管家，将其导入其中，可接管共28台云服务器以及支付集群，至此，已将漏洞报告提交给厂商。 0x04 厂商反馈 这个漏洞让我获得了9000的赏金。 0x0 总结 针对不同的目录结构构造不同的目录字典。 转载自公众号网络安全之旅，作者：小乳酸。 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END