记一次漏洞挖掘实战之木桶短板

HACK学习

发布于 2020-12-16 10:39:04

9280

发布于 2020-12-16 10:39:04

文章被收录于专栏：HACK学习

客户给了个站授权渗透

客户要求：纯黑盒无测试账号

就一个登录框忘记密码功能还是这样

人直接傻了先看看能不能爆破吧

发现密码加密了

好家伙还是动态密钥验证一下发现确实两个一样的密码加密不一样

96e437f990f8df4078b535d40a53bdeddaa0c2503376f30ad2ec93ba5883fd4393909ba2bd1ae0d3d5e64ba10a2f2d617423a9fcc5017d421675fe8564ea71ccc36521a4936a593ad96db2782e3cbfdef79a7b02c8409020f57e0b055557fad444466728d2a592a4a1dea02fdbbd9f5d01571586d84f41d74b69b30d215ddbdf

4fb3f0d05a78b6dd5f19d07f10cab4cd2d226f46c5ce3af61f89ab0fa8fcc7fd6483a7840144820db0727a1c00f44cbd7e1c502c3c889a811c373e5d98634ec65ddcc3cb459adb7e6f39c6f207563536e354971336e199d3e85f3dcafb550fccee4782998aced13977a0df50b0a81d2af851b539909c8517f47328759af3a800

那mitmproxy+pyppeteer的方法就用不了了且登陆失败后出现了验证码

经测试验证码不能重用一些平常的验证码识别工具也不能识别爆破这条路还是放在最最最最后吧

爆破走不通爆目录看看：只找到一些scripts、plugins、pictures、manual等403页面 404页泄露了绝对路径

发现有用户名枚举

手动试了很多账号得到存在用户sysadmin 手动猜解密码没有成功

既然有scripts目录，那就爆破一下js文件吧（以前看过一篇挖src经验的文章说js经常会泄露敏感接口信息）得到这些js

翻一翻找到了修改密码的接口

测了测也没啥用没权限

但是在manual.js中发现了有意思的东西

经常这些手册里面就会有默认口令之类的东西，或者从平台演示的图片里看到一些后台信息翻看这些手册在XX工程标准化运行巡查操作手册.pdf中发现了我想要的东西

一个app的下载二维码并且发现了该app的默认口令，在下面的演示图中看到用户名是人名的格式

毫不犹豫的下载下来安装到模拟器中代理到burp上发现传输目标是一个域名的20000端口，但是该域名解析的ip根本没开web 我猜想可能是客户更换了服务器ip，就将burp上的域名改成了客户给的目标这个ip，果然可以正常访问于是在本机上做了个hosts绑定，这样模拟器的app就能正常通信了

发现没有验证码密码就md5加密了下那还等什么开始爆破在登录时发现登录的密码自动填充了

发包，拿着burp抓到的哈希密码去解密：

得到了个密码配合前面收集到的管理员用户名sysadmin试了试

进去了！账号拿到web端登一下

好吧

再利用之前得到的信息，账号设置人名密码设置123

又得到了一批账号总算有点突破了

接着将burp的代理挂到xray上，开始点app里面的功能发现几处上传功能点完看看xray的html-------挖掘到个sql注入：

是sqlserver的报错注入复制下来扔sqlmap：

发现sqlmap没识别到json里的参数，那自己加个星

继续

sqlmap：python sqlmap.py -r 1.txt  --random-agent --dbms=mssql

很悲剧包复制到burp看了看，这个报错注入只能使用convert()的报错方法来跑数据，但是这个只在level高的情况下sqlmap才会去使用，调成level2 结果还是没跑出来那就打开payload看看 convert在哪个level等级才会用路径在F:\sqlmap-1.4\data\xml\payloads\error_based.xml 找到了可以利用的payload：