对某网的一次渗入测试纪实 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

对某网的一次渗入测试纪实

申博_新闻事件 申博 194次浏览 已收录 0个评论

应用Scapy编写类似于Nmap的端口扫描剧本

简介 Scapy是一种用于计算机网络的数据包处理工具,由Philippe Biondi 用Python编写。它可以伪造或解码数据包,在线路上发送它们,捕获它们,并匹配请求和回复。它还可以处理扫描,跟踪路由,探测,单元测试,攻击和网络发现等任务。可以

近来一个月学着去挖洞,混了快2个月的补天。照样有挺多收成的。这里纪录一个昨天对某人材网的渗入测试。从逻辑越权,xss,弱口令比及getshell,掌握数据库…..

新人第一次写稿,有缺乏的处所恳请师傅们指出
目的站点我就以www.xxx.com替代

1. 逻辑越权
这个人材网有个人用户和企业用户,企业用户注册须要供应营业执照等等。然后只要企业用户能力下载人材简历,检察各个求职者的详细信息,好比身份证号码,联系方式等等。
我们先注册一个个人用户,然后上岸
我们可以或许看到下面有个”最新人材”的栏目

点更多,我们可以或许看到有大约有3w多简历

我们先随意点一个人的简历

可以或许看到当我们是个人用户时已可以或许瞥见这个求职者的许多信息了,然则身份证信息和联系方式作为个人用户是看不见的

然后我们实验点一下下载简历

果真只要企业用户能力下载。
这时候我想起了在各大平台瞥见的逻辑破绽的总结,因而实验用burp抓包来看看有无可以或许越权成为企业用户
我们对下载简历抓包

我们可以或许看到谁人eid是我们检察的这个简历的id。然后在cookie里,有个usertype和uid,个人用户的usertype是1,因而我们实验改成2。然后这里必需uid也得改成随意一个企业的uid,因为这里usertype是推断用户账号是个人用户照样企业用户,然后这个uid是推断有无下载权限。
我们在首页随意找一个企业

然后发包

然后这里就已越权成为企业用户了,可以或许检察到用户联系方式了。
然后我们再对这个图上谁人下载简历抓包,一样修正usertype和uid,然后再发包

然后到这里,不要认为失利了。
我们照样得对这个页面抓包,继承改usertype和uid。然后再次发包就可以或许下载了

word文档的简历内容很长,就截了前面局部。可以或许看到这里就可以或许瞥见完全的身份证号码信息。
(Ps:这里在改完uid后,提醒说金币不敷什么的,就换一个企业的uid尝尝就好了,因为这里下载简历是要斲丧谁人企业的金币的,没有金币就得充钱)

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

2.XSS
我们个人用户上岸后会让我们完美简历。在简历填写的多处存在贮存型XSS
这里拿自我评价处做例子(究竟结果企业看人材简用时可以或许看到自我评价)

这里我们可以或许应用xss来猎取那些企业用户的cookie,且看cookie,并没有httponly的设置,以是可以或许直接上岸恣意检察过这个简历的企业用户。

SQL注入1
经由过程子域名网络,可以或许获得oa办公体系地点:oa.xxx.com

然后我们先随意尝尝输入账号暗码,好比admin/admin

提醒暗码无效
然后admins/admin

这模样就有多是SQL盲注。
因而进一步考证,用admin’ and ‘1’=’1 和admin’ and ‘1’=’2来考证

因而考证了这里存在SQL盲注。然后写剧本可以或许跑出数据库名

然后在盘算跑表时

预测一定是select的缘由。
把select 去掉

果真是select的缘由。
然后我实验了用内联解释,编码等都没有胜利绕过…..可以或许姿态太少了吧。
然则这个报错让我知道了完全的sql语句
因而想到了用全能暗码。
依据sql注入语句组织:用户名用admin’ or 1=1 or ”=’
暗码随意填,然后就进去了…..

SQL注入2
这里另有一处SQL注入,不外有点鸡肋的就是和sql注入1一样的就是select….被waf了。
注入的处所在搜刮框,是一个搜刮型SQL注入
一般搜刮型SQL注入的SQL语句都是:select * from users where id like ‘%xxx%’ order by xxxxxxxxx”;
以是我们就可以或许组织闭合致使SQL注入。
我们可以或许用1%’ and 1=1 and ‘%’=’和%’ and 1=2 and ‘%’=’来考证是不是存在搜刮型注入。

如许就可以或许考证存在SQL注入了。一样这里只能跑出数据库名….因为select被waf了,我临时还没姿态绕过。

恣意文件上传
在前面全能暗码进入oa背景后,我实验getshell。因而阅读了一遍背景的功用。发明了在用户治理处可以或许应用

随意点一个人修正

修正头像这里,抓包改成php。上传木马胜利。(这里一定只在前端考证我们上传的文件范例,致使绕过)

然后我们用蚁剑衔接

胜利getshell
可以或许下载全部代码包

然后我们可以或许找到数据库配置文件

然后用蚁剑自带的数据库治理体系连上

然后就可以或许恣意支配数据库了。然后我们可以或许看到网站背景的账号暗码…..发明暗码是个与网站域名有关的弱暗码,xxx2017
然后就可以或许进入治理背景(都getshell了实在没必要再看这个了,哈哈哈,不外可以或许当做一个弱暗码破绽)

总结:
这个人材网可以或许说是破绽百出。把很多学到的姿态充足的完成了。因为还没打仗过内网方面的阅历,以是并没有对其举行下一步的测试。找个时候进修一波内网方面的学问,然后我觉的这个站可以或许依然是一个可以或许把理论付诸实践的站点(诙谐).
前一年都在打ctf,从近来最先挖洞,挖洞的感觉就是挖洞一时爽,一向挖一向爽。从近来的挖洞阅历,学会了许多,学到最多的就是逻辑破绽的姿态,好比越权,短信轰炸,恣意用户注册,恣意用户暗码修正,种种考证码处置惩罚欠妥,商城商品提交定单时,数目、金额、运费、优惠价格等参数没有做严厉限定和考证致使0元购等等。愿望接下来本身可以或许转向各大SRC的破绽发掘,究竟结果非受权的站点测试照样很有风险的(~逃

CARPE (DIEM): CVE-2019-0211 Apache Root Privilege Escalation

Introduction 对于从2.4.17版本(2015年10月9日发布)到2.4.38版本(2019年4月1日发布)之间的Apache HTTP系统来说,由于存在数组访问越界导致的任意函数调用问题,导致系统容易受到本地root提权攻击。当Apache正常重新启动(apache2ctl g


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明对某网的一次渗入测试纪实
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址