前不久的壹次授權測試中,感覺缺少任何壹步都無法達到getshell的目的,單個漏洞看得話確實平平無奇,但是如果組合起來的話也許會有意想不到的化學效應。
拿到這個站的時候壹眼就看見了會員登錄界面,壹開始想著註冊,但是覺得會員功能應該很少,沒驗證碼啥的,萬壹後臺管理員也是會員呢那豈不是要是爆破出來了可以去後臺嘗試壹波。
在壹開始打開網站的時候,由於安裝了谷歌插件sensinfor(t00ls上發現的),可以初步探測網站的敏感目錄,比如備份文件,phpmyadmin,phpinfo等等,在壹開始就探測出存在phpinfo,獲取了網站的絕對路徑
常規用nmap探測下開放的端口,發現對外開放了3306端口,有絕對路徑了,不抱希望的去爆破下3306吧,反正我是沒爆破出幾個3306的密碼,用下超級弱口令檢查工具,字典接著用鴨王的吧,誰知道是字典強大還是運氣爆破,話說這個不算弱口令,只能說字典裏有這個密碼吧,只要字典存在的就是弱密碼,沒有錯。
基於負責任的態度也發現了 壹些其他的漏洞,不過相對來說危害性不大吧,但是如果在寫測試報告的時候如果沒得寫也是可以寫上的。
這個後臺壹般都有記錄用戶登錄IP的習慣,但是如果記錄IP的時候選取的是x-forward-for構造的IP,這樣攻擊者是可以偽造登錄IP的,如果沒有對IP的合法性進行校驗,構造壹個XSS payload觸發存儲型XSS這也不是沒可能,在測試的時候就遇到過幾次,後臺記錄會員登錄IP的地方存在存儲型XSS
不過這裏美中不足的是後臺對IP的合法性進行了校驗,如果是不合法的IP會被重置為0.0.0.0
登錄後發現管理員沒辦法對自己進行操作,這很尷尬,管理員都沒辦法更改自己的信息
很簡單的辦法隨便找個可以進行更改的鏈接,更改url實現修改管理員信息,按照經驗這種限制管理員更改自己信息的情況我遇到的很多都是前端限制了。
細看下來真的沒啥技術含量,運氣好爆破出來了,可以寫log日誌,但是也算是壹環扣壹環吧,如果不是壹開始爆破出來了可能也沒想著去爆破3306,如果沒有絕對路徑的話我也懶得去爆破3306,測試中運氣也很重要呀,哈哈。
持續更新↓↓↓↓
網絡安全學習資料·攻略