网站开发报价明细,四会市住房和城乡建设局网站,哈尔滨网络科技公司网站,镜像网站做优化信息收集
这次信息收集比较玄学#xff0c;起初就是用谷歌语法搜了一下带注册功能的点 然后就找到了本次目标站的注册点: 这边的学号啥的我都是不知道的而且这边最后显示的不是注册#xff0c;显示的是提交所以可以断定注册账号得需要管理员审核信息才能注册#xff0c;所以…信息收集
这次信息收集比较玄学起初就是用谷歌语法搜了一下带注册功能的点 然后就找到了本次目标站的注册点: 这边的学号啥的我都是不知道的而且这边最后显示的不是注册显示的是提交所以可以断定注册账号得需要管理员审核信息才能注册所以我没报啥希望随便编了一个1213311的学号身份证号码是bing上随便搜的一个身份证。 然后过了23个星期本来已经忘了这个站点了但是后面收到了账号注册通过审核的邮件了花某也是一整个懵圈。。 然后就迅速去登录进行测试了。
存储xss
进去之后功能比较少就一个论文上传点先传个pdf-xss试试 成功弹窗要是以前还能混一个低危但是现在EDU不收录pdf-xss了所以这个点就先放放然后还有个摘要框在试试存储xss。 成功弹窗存储xss1
越权
然后点击查看个人信息抓包看看有没有越权参数。 没啥能操作的而且这个系统操作的局限性比较大因为功能点有点少所以打算继续在论文功能上看看能不能再出货先上传一个正常的pdf然后点击浏览抓包这边之所以能想到论文浏览抓包是可以凭经验猜想下的论文管理处上传的论文肯定不止我们一篇所以论文一多最后数据可能会是以一串有规律的数字而存储所以我们上传一篇正常的pdf之后抓包看看能不能越到别人的pdf论文上。 果然提交类型中是存在参数的所以我们改下参数试试把原来的ataid212871063改为ataid212871064 结果没有回显数据再改为ataid212871065试试 有数据回显再看看论文有没有变成别人的 成功看到别人论文逻辑越权1 这边在后期大量收集论文信息改包的过程中发现这边的参数 ataid212871065最后一位的数字貌似只能是奇数因为改成 ataid212871064/ataid212871066/ataid212871068偶数是不会成功的但是改为ataid212871065/ataid212871067/ataid212871069的奇数结尾就会有数据回显
信息泄露
这里的信息泄露是论文自带的一个信息是算在越权里的不能单独算成一个敏感信息泄露漏洞但是花某单独列成一个洞是因为这快的信息泄露就是帮助我们最后getshell的基础。 论文开头是有学生姓名和学号的末尾还有身份证刚拿到这块信息其实并没有太过在意因为只到打到这里我并没有对这个学校的别的资产进行收集只是对有号的这个系统测试了一番所以就打算去收集一下别的资产。
谷歌语法 fofa: 再加个Hunter就比较全了 记事本整理一下主要的系统然后结合已有的学号登信息最后确定了一个智慧系统(看似是通用模板最后又收集一波发现并不是通杀....... 可以用学号登录就能用到我们之前论文上泄露的学号了输入学号:2xxxx,密码再试试简单的弱口令都提升密码错误。 这时候再去整理整理收集到的信息看看有没有操作指南或者账号手册之类的东西因为现在很多系统都会设有初始密码例如某系统学生统一初始密码为admin123那我们只需要找到这个初始密码就能登录 整理完信息发现是有这个登录手册的但是在手册上有发现了一个别的问题就是虽然初始密码是xxx123456但是手册上还说初次登录得要更改密码才能进一步操作那只能换个思路了结合现实中修改密码的习惯姓名字母123456/姓名字母生日
然后我们在论文上也是能得到学号所对应姓名的所以我这么就去多越了几篇论文多收集了一些学号和姓名信息以及从论文上身份证号码上得到的出生年月整理到了记事本其实如果没有身份证信息出生年月也可以不作收集只是如果有这个信息的话能增大爆破几率而且 然后再去一个个生成密码字典爆破试试在线生成爆破字典的链接为 https://www.shentoushi.top/tools/distplus/index.html 填写好知道的信息后生成字典不知道的可以留空。 下载一下为了提高效率我是先把记事本上的前三个人的信息生成了字典打算试试能不能先跑出来 开始跑。。。。前三个都没有继续跑后面的其实这边能跑的几率是比较大的因为普通的大学生或者说普通人设置密码安全意识肯定没有学过网络安全类的人高就连花某设置密码平常为了方便还是会设置成flowerxxx这种密码所以在收集的230个人中肯定是会有23个人设置弱密码果不其然。 试了没几个就成功跑出密码然后再去登录一下那个系统。
getshell
成功登录系统然后再继续寻找测试点这边getshell比较简单 寻找功能点寻找到一个【学生信息设置】功能点测试中更改学生信息肯定是不可取的因为如果会有系统登记学生名字你改了学生名字那就会影响到学生正常的生活所以我打算更改的是密码为了不影响学生正常登录所以我也是打算晚上凌晨试试速战速决了如果没有测成功就赶紧恢复之前的密码。更改用户名然后抓包 敏感信息有点多这块打个厚码。 试试写个phpinfo 看到其它数据编码了这边写phpinfo的也编下码 , file_put_contents(flower.php,base64_decode(PD9waHAgcGhwaW5mbygpOz8)),还要加上路径因为不回显路径路径直接再根路径就行../这些组合也可以具体看师傅们的玩法。 访问 xxx.xxxx.edu.cn/flower.php 成功写入最后直接写shell就行edu上这样就行了所以这样交就ok了然后打包下这些洞一起交下。 总结
这次测试难度不算高感觉主要是比较看信息收集能力有大佬之前说过信息收集质量决定渗透质量果然不假。
