您现在的位置是：首页 >学无止境 >【edusrc案例-思路总结(一)】幼儿园-挖掘链总结网站首页学无止境

漏洞点

测试路径

Payload

总结

VPN（弱口令）

1、开源信息（GitHub、使用手册、搜索语法）-学号-人名-密码规则---->弱口令进入

2、寻找到了内网请求跳转url（被加密）--->逆向加密算法

字典爆破、加密的逆向

搜索公开的敏感信息、生成字典爆破

已有账号（水平越权+垂直越权）

1、功能点（对身份验证的参数）--->改的学号--->越权查看他人信息

2、将学号--->admin

功能点，在请求数据里面知道了未完全加密的参数type=stu参数---->teacher

3、修改密码--->返回包中存在敏感信息（电话、邮件等）

修改密码--->请求数据包中的userid修改--->任意密码重置

property value（参数值的修改，学号）

Type参数的寻找并修改

通过有身份鉴定的功能，查看是否能返回当前人的敏感信息

Id类型的敏感参数的修改

1、身份鉴定参数值的修改

观察每一个功能点的返回数据包

3、请求包中的敏感参数

校园地图服务系统（未授权访问系统的目录）

Dirsearch扫到springboot目录--->工具分析出内存信息--->post构造数据包--->rec（带回数据）

Dirsearch、Eclipse Memory Analyzer

寻找未授权访问目录--->获取到敏感信息--->rec

信息泄露

通过谷歌语法（原本找注入漏洞inurl:.php?id=1）--->找到了信息泄露

谷歌语法

熟悉谷歌语法

批量挖掘

爬取edusrc中指定的测试对象（如只爬sql注入）---->使用脚本poc进行批量测试

大量Poc

存在同一漏洞的xx单位

后台弱口令+文件上传getshell

1、站点的各种目录爆破找后台--->单引号报错、双引号正常--->万能密码进入

2、后台上传功能点--->%00截断--->getshell

找后台、找功能点

大量的寻找网站后台

用户名漏洞

弱口令进后台--->用户名改为admin（修改个人信息）--->自己变为了admin

参数的测试

想办法把自己变为admin

后台的Nday

找到了后台--->发现了使用的系统(老系统)--->cnvd等漏洞平台找已知漏洞--->复现nday

Nday

识别使用的系统（cms）

管理软件的nday

信息收集各种资产--->找到一个标有“用友”的管理网站--->测试nday

Nday

找大量的资产（直接标识所使用的系统cms）

弱口令+sql注入

1、谷歌搜索语法--->工号+密码组成--->爆破

2、拦截所有参数--->加单引号--->报错（存在注入点）

爆破+单引号

账号的重要性、每个参数都测试sql（建议脚本测试）

弱口令（看日志）+返回敏感数据+html（xss）+手机验证码复用

1、管理系统（弱口令）--->查看了工号的登陆日志--->登陆了教职工的后台

2、观察返回数据吧---->敏感信息泄露--->修改身份鉴别的参数(userkey爆破)--->泄露了大量个人信息

3、上传HTML界面(可以被解析执行)---->XSS

手机验证码复用

管理后台能否看日志、Html（xss）

万能密码、未授权访问

1、找存在可能有注入的站点（登陆界面）--->跑poc（万能密码）

2、某厂商存在未授权访问--->然后把所有使用改厂商的单位跑一边

万能密码、未授权

找到一个漏洞后，大量测试

忘记密码+首次登陆修改密码验证（越权登陆）

1、第一步使用目标邮箱+账号，在第二步发送邮件的时候，修改为自己的邮箱

2、isFirstLogin参数验证是否首次登陆（修改的返回包）--->修改值为yrue--->直接修改密码

特殊含义参数的修改

找一些判断参数

前端验证+xss（获取到管理员cookie）

密保信息前端验证

各种地方都插xss-payload--->获取到管理员cookie

Xss-payload到处插

Xss-payload到处插

登陆界面后台URL泄露

查看登陆界面处理的源码--->找到了跳转的url（main.php）--->直接访问（session.php身份验证）--->修改返回数据包（删除错误信息，改为true）

分析前端登录跳转逻辑

找后端跳转界面,修改返回会数据包

无验证码登陆界面爆破+越权修改密码

1、找到无验证码的登陆界面（找到账号密码规则）--->爆破

2、修改密码功能，修改请求数据包loginname---->实现越权修改密码

脆弱边界

寻找看似老、旧的系统（不安全）

Sql注入

登陆界面（index.aspx）--->sqlmap跑出注入点（存在万能密码）

Sqlmap

登陆界面存在注入点===存在万能密码

弱口令

厂商（存在大量单位使用）---->用户手册--->跑默认的用户名+密码

寻找默认密码

通过默认账号密码跑大量的同一厂商的系统

联动批量的漏扫

FOfa+rad+burp+xray

注意动作尺度

Api接口泄露

1、http历史流量--->api接口--->访问这个api接口--->暴漏出很多URL--->某些URL存在某个信息

​

2、有用户敏感信息后进行更多操作

Api接口

http历史流量找接口、忽略的细节

Sql注入

URL中存在id参数--->sql手工测试存在注入点--->sqlmap工具测试

Sql-payload测试

先payload，再sqlmap

Cookie伪造

Cookie使用base64加密--->解密--->用户id_用户名_权限id--->admin账号的伪造

Cookie的加密方法识别

Cookie的组成解密