三个月测一站之漏洞挖掘纯享版

好久前偶遇一个站点，前前后后大概挖了三个月才基本测试完毕，出了好多漏洞，也有不少高危，现在对部分高危漏洞进行总结分析。

nday进后台：

开局一个登录框：

通过熊猫头插件提取接口，并结合js分析，跑遍了提取到的路径也没有结果。尝试弱口令登录，但是由于连用户名提示都没有，也以失败告终。最后根据页面title关键字搜索找到该平台的权限绕过nday成功进入后台。

语句：xxx系统历史漏洞 or xxx平台历史漏洞

如上图，拼接payload，通过/../..;号实现权限绕过：

302跳转进入后台，发现为管理员界面。

进入一个系统时，一定不要着急马上测试，要先总体看看这个系统的功能点，基本结构，布局，然后再将功能点转化为数据包，接口，参数进行测试。

总体看了看系统功能点，便点进个人信息处，尝试文件上传漏洞getshell。

点击选择，随后页面进行了一个奇怪的跳转：新开了一个页面

我先尝试文件上传，不过只能上传图片格式，我观察到该文件路径中存在：type=images，于是尝试将images自行修改，不过这种页面居然不能修改url，于是复制url放到正常浏览器访问，尝试修改无果。

【----帮助网安学习，以下所有学习资料加vx：dctintin，备注“思否”获取！】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

发现页面存在修改文件后缀功能，但也被限制。

这时我发现站点采用了ckfinder编辑器，于是按照：xxx历史漏洞继续搜索：\

翻看大量文章后并未发现能成功复现的漏洞，但我发现了ckfinder的一个新路径：

将url的?后面全部删除进入如下界面：

这时发现刚才原来只是处于images文件夹下，所以被限制很严格。

于是我再次在files文件夹下上传可执行文件，但jsp和php之类均被限制，jspf或者jspx也无法绕过，只有尝试xss类型文件上传了：

上传发现关键字被黑名单限制，于是先上传了一个空的txt文档，上传后再对内容，后缀名进行修改：

修改如下：

双击访问：

成功执行恶意js代码，造成弹窗，这种漏洞就会很容易在管理员访问时，直接将cookie盗取。

同时记住，想这种功能点，属于站点较为深入的功能点处，还极可能存在未授权访问漏洞，删除认证字段访问：

访问成功，由此获得未授权访问加xss类型文件上传漏洞。

这种类型漏洞就可用作挂马，制作钓鱼页面等高危害操作。

多处sql注入漏洞：

该站点功能点很多，这也是为什么我测了很久的原因：

注入点1：

经过翻找发现如下页面，可直接执行sql语句：

输入sql语句抓包查看：

延时成功，虽然从设计功能点来看，这其实并不能算是漏洞，因为本身开发者就是要这么设计的，但在挖掘漏洞时，这种功能点依旧可以通过审核，且在实战中如果这类功能点没有做好权限限制，也能利用sql语句获取敏感信息，写马，修改账户密码等。

注入点2：

功能点如下，此站点查询功能点极其多，但并不是每一个都有漏洞，所以黑盒测试就需要一个个慢慢测试：

抓包，输入单引号报错，两个单引号页面正常，尝试sql手注：

利用堆叠注入延时成功。

数据库的遍历：

继续探索，发现如下页面：

先前便提到过，黑河测试一定要将功能点转化为数据包，接口，参数进行测试，不然这时我可能只会看到一个数据库信息而已。

我翻看该功能点数据包时，直接就发现了展现该页面的请求包与返回数据：

如上图，泄露了数据库地址，账户密码。

但此时注意请求包参数：id=1，很明显，我直接遍历id值：

在前端其实只能看到一个数据库的地址，用户密码。也就是id=1时的数据，而转化为数据包观察，直接实现数据库信息遍历，拿下五台数据库敏感信息，包含mysql，oracle等类型，危害瞬间扩大。

更多网安技能的在线实操练习，请点击这里>>