地址:zkanzz
0x01 信息收集
1.通过目录扫描,和js审计发现该站点只存在登陆和忘记密码功能
0x02 弱密码爆破(无成果)
1.先手动测试了几个,发现提示都是用户密码错误,那么就不能根据账户去爆破密码了
2.无所谓先爆破个常见密码,123456和111111看看会不会有成功的再说 最后结果也是理所当然的没爆破出用户……
0x03 忘记密码(无成果)
1.既然用户登陆处没发现什么,那么来看看忘记密码处是否能做什么操作
2.点开发现找回密码处需要三要素才能重制密码,一个是姓名,一个是工号,还有一个是手机号 在这三个要素之间最难获得是工号和手机号。随便输入下信息看看
思考:通过两次对比不难看出:-工号匹配优先级最高 -忘记密码处为姓名和工号,那么是不是说明账号登陆处的用户名其实就是姓名或者工号呢,或者姓名的简拼 -如果知道姓名和手机号,那么就可以通过工号来爆破,从而进行用户密码重制 3.通过谷歌语法收集一下目标单位的手机号和姓名等相关信息(后续从其余站点获取工号格式为A12345) 4.使用工号和谷歌语法收集的信息对账号密码和忘记密码处进行爆破 5.最后的结果还是让我蛮吃惊的,没有一个成果!!!???搞了这么多一点用也没有啊(最后发现就算工号电话正确,依旧提示相同内容无法修改密码?,疑似存在问题)
0x04 登陆突破(万能账号登陆)
1.整理下目前所有信息,拥有用户名,工号,以及手机号还是无法成功? 然后思考登陆用户处可能存在sql注入,本着试一试又不会怎样的心态,输入’or’1’like’1看看
2.!!!!!居然登陆成功了,666给整笑了,搞了那么多居然可以用万能密码登陆
3.既然有万能账号那么是否也存在万能密码呢,看看能否登陆,最后发现没有万能密码。通过对比得出结论:此处为万能账号登陆,然后通过匹配到的唯一密码进行登录,你输入的密码属于哪个用户就登陆为哪个用户。
0x05 越权(密码修改绕过)
1.因登陆用户均为弱密码,且要修改密码后才会返回功能点,先尝试密码修改进入正常功能
可发现只存在一个产品查询功能并无其他权限,接口中也未发现其余接口 2.当前登陆账号为仓库人员,那么是否会存在人事相关的账号呢,通过万能账号继续尝试后获取了一个人事账号
3.通过对仓库账号进行URL拼接发现存在越权,仓库人员账号可以获取人事账号内容,且无论是否有修改密码均可进行越权,那么很有可能也存在管理员的越权,只是现在不知道管理员路径和功能
0x06 敏感信息泄露
1.通过人事账号登陆后发现接口中存在用户信息泄露,可获取人员姓名电话,工号等内容,那么不就通过这些已知内容进行密码修改了吗
2.尝试之后发现仍然失败,无法重制密码(这怕不是拿来迷惑人的,我东西都是正确的,还提示我当前工号下找不到人,666)
0x07 SQL注入
1.因为用户登陆处存在万能账号,那么说明也大概率有sql注入,对登陆包进行抓包,直接放入sqlmap中为盲注
0x08 任意文件上传
1.因为用户登陆的账号功能有限,且前端不会返回任何接口信息,只能尝试对万能账号密码爆破 获取高权限账号
2.获取系统全部功能后,发现个人信息处存在证件上传
3.先探测下是否为白名单限制,随意上传文件后缀,发现均成功并返回两个地址,一个为下载地址,一个为查看地址。
4.既然没有限制,那就别怪我不客气了,直接上传冰蝎的webshell
5.成功连接
