听风安全
听风安全
微信号 tingfengsec
功能介绍 潜心学安全
__发表于
收录于合集
以下文章来源于雁行安全团队 ,作者B&e
雁行安全团队 .
四叶草安全雁行安服团队—黑客与POC的火花
免责声明 由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为 此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把听风安全设为 星标 ,否则可能就看不到啦!
----------------------------------------------------------------------
今天风和日丽,不挖挖洞可惜了,正好来活了,对某学校的小演练。打开FOFA一阵狂搜,找到一个统一身份认证,自认为这一般都相对安全,直到上次大哥们在项目中发现有个CAS存在Shiro......
先进来看一看,看到忘记密码,肯定要点一点。
随便输串数字试一试,很常见的用户名枚举,跑的话太慢了,况且不知道长度,直接去官网找找。
211***@x.edu.cn这个邮箱前缀像是个账号,去试一试。
Bingo,进入下一步,不知道手机号怎么办,答案是:随便输一个。
看看数据包,json返回500,看来是前端校验能不能进入下一步,先看看前端怎么写的。
判断如果返回为0,就进入下一步,改一下数据包试试。(系统敏感-深度厚码,师傅们莫怪!)
ok,下一步,不知道验证码怎么办,答案:还是随便输一个。
继续改返回包:
终于到了改密码的地方,看看开发大哥的代码会不会校验cookie的合法性(后台记录此cookie是否通过了验证码校验),或者将刚才的账号、手机号、短信验证码发送至服务器进行二次校验。
看看数据包:
wish today,感谢大哥赏饭
进来后发现一个选课平台,但这个并没有直接进入到后台。
爆破一下没有进去,扫目录发现存在源码泄露。
翻了翻源码,发现一处未授权。
既然存在未授权,也可能存在越权或者其他逻辑漏洞。挨个测试接口,发现存在越权,得到教师账号。
教师账号也是弱口令,查看源码发现上传点需要ADMIN权限,可就是找不到ADMIN账户,再没有发现有利用价值的功能点,被迫放弃。
回头再在CAS中看看其他系统,点了好多系统都是空白,一看地址大概率是内网地址。
绝望的我去准备去官网找找VPN,碰碰运气.....
skr!skr!天不亡我....
尝试使用选课平台的教师账户进行撞库-
无果,后输入CAS修改之后的账号密码看看是不是同一个数据库,结果可以成功登录,所以前面在CAS中越权修改的密码,VPN这里也被改了,利用改过的密码成功登录,再根据官网贴心的VPN连接教程很容易就连到了“我以为的内网”,其实......是校园网,也就是还在互联网上。
通过“系统直通车”,我们“直通”了各个系统。因为内网网段不能进(没授权),只能对各个暴露在公网的系统进行了测试,可这都是些信息系统,没找到能拿权限的点,感觉今天栽到这儿了,写个报告提交吧。后面为了方便写报告去截图,就重新发了个数据包,突然发现个熟悉的字眼“deleteMe”。
不会吧!不会吧!还会有Shiro反序列化漏洞?不太相信,但是作为中国驰名双标,我跑一下再说。
wish today,感谢大哥赏饭!内网常规打,没啥亮点,这里就不体现了。
信息收集、细心、思路等是打点必须要有的,其次就是日常要多多总结和练习,多向师傅们请教。本篇文章就到这儿了,感谢各位师傅的阅读。No More
不可错过的往期推荐哦
![]()
[SRC挖掘葵花宝典](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247492613&idx=1&sn=830e2de8698a9f871416ebac80f65c57&chksm=cf24da9ff853538998de949cbba709aee35c869f287b578d403a89e5d894cf0decd1d9e60f02&scene=21#wechat_redirect)
[SRC漏洞挖掘之看不见的羊毛](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247492235&idx=1&sn=132d26c13f21355ab81dd403449fe894&chksm=cf24dc11f85355076fc64b94506419e3b07265168ad0881037b7cb1836b0c19d3c389801d49a&scene=21#wechat_redirect)
[供应链投毒事件调查:一个免杀爱好者沦为“肉鸡”的全过程!](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247492230&idx=1&sn=bed8b208b278beacba5b887cd5970ac4&chksm=cf24dc1cf853550a852fc6f826c04e41e3f064ca52458026539a73f0a00256ca6d366b129d97&scene=21#wechat_redirect)
[【蓝队篇】Weblogic反序列化攻击不依赖日志溯源攻击时间](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247492167&idx=1&sn=d006ece34ac6785a841dec2713920085&chksm=cf24dcddf85355cbb7a9aafa9622ee277817ee809f8453c8f59cff44a89381f375378d1d548a&scene=21#wechat_redirect)
[从钓鱼邮件溯源到反制上线](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247492153&idx=1&sn=ff299ee157f8dbcdc4a554bc25aac1c4&chksm=cf24dca3f85355b537b9d9df4da4490b0b44a8b3834ccc5f76cac8f16e5be6781db46b8e71ea&scene=21#wechat_redirect)
[记一次渗透中的Password加密爆破过程](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247491576&idx=1&sn=98d4addfa549835f78a25e02c483a71d&chksm=cf272162f850a874d7ef75ce1af89e0ac9ee4f358f4a0fc03fd671a02917c2f18d4e1f5b14f4&scene=21#wechat_redirect)
[【蓝队篇】jsp型webshell被删情况下如何溯源攻击时间](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247491565&idx=1&sn=6831842335da082a0b57086db19e1d17&chksm=cf272177f850a861ec3acf774055281465c163f0e763ae8f74e61b8b03489312af751d51fac2&scene=21#wechat_redirect)
[达梦数据库手工注入笔记](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247491479&idx=1&sn=41e8beebfc19513887373c897985ca0d&chksm=cf27210df850a81ba9db2e42cd472b14392dfe9b6758d1aba1d74035ef7988daa02952e61c55&scene=21#wechat_redirect)
[从外网绕过沙箱逃逸再到内网权限提升的一次常规渗透项目](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247491299&idx=1&sn=61f20ea8070c95819343fd7b34bc1407&chksm=cf272079f850a96fa1f8ad795deb139787dda6fbb672b90c1aee70da2bf0a894dd14abf42ea8&scene=21#wechat_redirect)
[一次市hvv及省hvv的思路总结](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247491241&idx=1&sn=97a8d9cf665f4aeefe8eefb5020a844a&chksm=cf272033f850a925de5f68c315a005d4f048282bbf161ed03a78e431f3fa1bcb525dc0d39655&scene=21#wechat_redirect)
点击下方名片,关注我们
觉得内容不错,就点下“ 赞 ”和“ 在看 ”
如果不想错过新的内容推送可以设为 星标
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看