1. 信息搜集时用域名整理得到c段,使用ffuf+自写的批量脚本对c段批量目录扫描,且最好部署在vps上,后台运行脚本,保存扫描结果
2. 对uplaod.php空白界面FUZZ参数名,爆破参数值,出现上传表单,上传shell,FUZZ上传路径
3. XSS-WAF绕过:输出在JS内的闭合与注释;Function()来代替eval();atob解密base64加密的JS,绕过对alert()的过滤;4.反引号代替括号与引号,绕过对()的过滤
4. FUZZ目录、参数名得到/xxx?image_url=xx,八成是接收远程加载图片的参数,直接无脑get一个SSRF漏洞
5. 逻辑缺陷-水平越权-删除openid参数得到所有用户学习,用得到的账号用户名进行用户名喷洒,成功登录
6. 修改imageurl参数为dnslog地址,发现成功回显,探测内网失败,猜测为云服务器,探测云服务器元数据成功
7. 认证缺陷,遍历id获得多个手机号,openid又使用手机号做唯一的身份校验
8. 任意用户密码重置,登录接口遍历手机号,密码重置时,把手机号替换为其他手机号,成功重置密码
9. 输入手机号就可以获得对应的订单信息,滞空手机号返回所有用户信息
10. 一个获取管理员token的接口,把username参数改为admin,就返回了管理员token,复用此凭证可访问更多敏感接口
11. 弱cookie问题,修改cookie的UserCode值为admin,直接获得了管理员权限,猜测UserCode会进行数据库交互,直接尝试SQL注入,成功报错注出数据
12. A站点是大屏系统,B站点是存放大屏数据的后台,A站点的大屏有些数据是从B站点调用的,发现了A站点某个接口直接泄露了B站点的URL,用户名,密码,因为数据需要认证才能获取调用,因此账号密码直接写在了调用链里面
13. js文件泄露API接口,拼接base路径,批量访问,得到用户名规测,按照规测批量生成用户名字典,再用户名喷洒成功进入系统
14. 日志中有一个IP进行了大量扫描活动,访问该ip找到了上传点,上传ASPX马,返回了路径在82端口,但是82端口无法访问,幸运的是在80端口发现/upload目录遍历漏洞,也可访问ASPX马,getshell
15. 修改POST参数username为admin获得管理员权限,登录普通账号,来到修改密码处,抓包用户名改为admin,重置了管理员密码
16. 上传了aspx木马,无法使用webshell管理工具连接,但是可以解析aspx代码,于是使用ChatGPT生成执行了某些命令的aspx脚本并上传,间接的执行了脚本并获得了回显
17. Nginx默认界面->扫描目录->发现一个302跳转,跳转到了一个http://内网地址/xxx/xxx,把内网地址换为目标的外网地址,成功发现一个登录系统->基本流程走一遍无果,发现可下载APP端->jadx逆向看看接口->拿到接口批量未授权测试->发现是.do上个Struts2利用工具->失败->尝试sqlmap注入成功->发现了另一个端口的系统->发现又是.do上个Struts2利用工具->成功利用->getshell
18. 前端显示敏感信息是*号的时候往往有以下几种情况
(1)身份证、手机号是没有数据,就只是在前端用*号表示,没有实际数据,做展示作用
(2)身份证、手机号从服务器返回的信息就是脱敏了部分然后展示,如430523******0038,135_**_6544。
(3)身份证、手机号从服务器直接返回,然后在仅仅前端展示的时候用*号替代
这次遇到的情况就是仅仅在前端展示的时候用*号替代,其实数据包返回了未脱敏的数据,造成信息泄露
20.一个上传头像功能点,尝试绕过后缀检测均未成功,看到type\fileType\breach,根据以往渗透测试经验就是把参数修改成0、1、2这些看是不是能绕过文件类型检测。发现都不可以,以往fileType可能是1代表文件、2代表图片文件。但是都以失败告终准备放弃了,突然想起来还有一个参数all代表全部,修改为all,代表接收所有类型的文件,直接上传成功
21.拿到小程序后,访问需要授权登录,直接授权登录,没有sign值保护,在换绑手机号时,直接尝试修改Mobile为其他手机号,换绑成功;转战小程序代码反编译,找到了小程序上没有的功能接口,直接进行拼接测试,并没有对权限校验的很严格,导致可以利用目前的帐号去访问,越权获取所有用户的openId值和手机号,取到的openid值可以直接替换在登陆包文里,只校验了openid参数,替换后成功登陆其他用户帐号
22.弱cookie导致的篡改 Cookie 实现任意用户伪造
23.前端检验关键数据(如:手机号)导致任意换绑从而任意用户密码重置
24.存储型XSS与换绑的验证码输出在前端的组合拳实现任意账户无感换绑
25.前端数据截图伪造与水平越权数据泄露的组合拳实现退款欺骗
26.OAuth缺陷导致CSRF任意用户换绑从而实现任意用户接管
27.四舍五入数据处理不当导致支付逻辑漏洞
28.四舍五入数据处理不当导致越权逻辑漏洞
29.并发漏洞导致的各种重放攻击
30.前端校验数据伪造数据导致的各种问题
31.用户名枚举时还可使用fuzz模块生成二到三位的简单用户名
32.用户名枚举时还可使用使用TOP中文名汉字字典
33.Goole黑语法搜寻学号,默认密码
34.Github语法找CMS源码,项目源码,敏感信息
35.熟悉目标的整个业务流程,功能点很重要
36.前端泄露调试器全局搜索key、security、ak、sk、password、username、/*、//、默认
37.F12 XHR 截取异步流量(接口信息) 获取请求的API接口
38.参数遍历寻找隐藏商品、赠品、附属商品实现0元购
39.越权测试时不要嫌麻烦,注册两个账号测试
40.尝试购买售罄的商品
41.优惠劵多次复用
42.看响应包长度时,看最大、最小、临界值
43.找未授权接口时,若大多数是404说明可能接口有前缀,F12翻找js进行前缀拼接;如果接口跳转,开启bp拦截,再次看发送是否加载新的接口
44.找未授权接口时,405 改POST、GET、OPTIONS、PUT、HAED
45.找未授权接口时,5xx可能是参数缺失,F12前端去找参数或者FUZZ参数
46.找未授权接口时,Unsupportted Media Type 不支持内容类型,FUZZ媒体类型
text/html:HTML 文档 application/json:JSON 数据 application/xml:XML 数据 image/jpeg:JPEG 图像 image/png:PNG 图像 application/pdf:PDF 文档 application/octet-stream:二进制数据流 application/x-www-form-urlencoded:用于表单数据的 URL 编码格式 multipart/form-data:用于表单数据的多部分数据格式
47.找未授权接口时 403时,继续FUZZ 爆破次级目录,或者403 Bypass
48.爆破密码时有次数限制时,横向爆破用户名;爆破密码,达到错误阈值,再使用正确密码登录,看是否是虚假锁定
49.看前端是否对控制错误尝试的校验字段可控,从而绕过限制
50.校验过程与处理过程业务分离,导致通过一次校验后,得到处理过程,之后可跳过校验过程直接进行处理过程
51.验证码未绑定,只校验此时数据库中的该验证码是否有效,导致的任意用户登录
52.在代码层未考虑NULL的情况导致的验证码可删除从而绕过校验
53.仅仅只对输入校验过滤导致的二次注入、二次XSS
54.MySQL中insert into数据长度溢出时截断数据的特性导致的注册时的任意用户覆盖
55.没有流程凭证(session),业务流程步骤未校验是否上一步骤是否完成,导致中间流程被跳过导致的未授权访问
56.流程凭证未绑定账号信息,导致的任意有效流程凭证可复用,从而实现任意用户密码重置
57.密保问题简单可猜解
58.密保问题答案泄露在前端
59.验证码4-5位可爆破
60.验证码回显在响应的set-cookie中
61.万能、默认验证码
62.未使用的token不过期,且不包含用户凭证信息,导致的任意用户越权操作
63.token可猜解,可预测,导致token伪造实现任意用户越权操作
64.邮箱密码重置链接中的凭证不包含账号信息或者叫凭证不会账号做校验,则可通过修改账号ID,实现任意用户密码重置
65.账号激活邮箱链接未加密且参数简单,无需登录他人邮箱就可以构造激活链接导致的任意用户注册
66.以pid作为校验身份的唯一参数,但是是经过了加密,无法遍历的,返回的响应包中是roleid=112,代表该用户的id,尝试把pid替换为roleid竟然也可以返回用户所有信息,这样通过roleid可遍历出用户凭证,再利用获得的凭证去其他接口获取更多信息,拿下了所有账号权限
67.注册时,获取注册的数据包,有一个参数userGroupId,遍历userGroupId成功以更高的权限注册,可用29个应用,随便点击一个提示不是有效用户,说明权限还不够高,在个人中心发现一个用户类别选择的功能,直接获取保存的数据包,果然有userGroupId,直接改成1,应用数量也随之增加了,权限又提升了
68.开局404,爆出一个目录,打破了404僵局,在一个接口里面发现页面加载了远程服务器资源,打一手SSRF内网探测
69.对接口进行递归FUZZ,得到登录接口,提示没有用户名,尝试只填用户名admin,滞空密码,成功免密登录
70.意想不到的管理员账号密码重置,密保问题过于简单,导致可爆破
71. 首先需要注册司机并进行实名认证,然后以司机的身份登录,此时便可以看到平台上用户发布的订单。接着,通过抓包,随机选择一个用户订单号进行获取。为了测试越权问题,我们需要获取乘客取消订单的数据包。为此,我们需要通过切换身份为乘客,发布行程订单,然后立即取消订单,以此获取订单取消的数据包数据。在成功获取数据包后,我们替换之前选定的订单号进行取消操作,但提示出现参数错误。事实上,取消订单是由三个部分构成的:auto、route_id、user_cid。其中,已知的是user_cid是用户身份ID,不能进行篡改;而route_id则是订单号,如果修改其他用户的订单号,取消操作将会失败。在测试了几次之后,我决定尝试将auto=0改为1,取消成功!
72.session_key泄漏导致可通过session_key和iv解密encrypteData参数,并对其数据进行越权篡改,从而造成任意账号登录
73.DDOS 请求包是2023-6-1到2023-6-8,7天会去查询这7天的报表内容,那我多尝试几天呢?修改查询范围为:1023-6-1到29023-6-8,单次请求10220000次,然后多请求几次,岂不是把它的处理能力给拉满,达到拒绝服务的效果,成功干蹦了
74.弱口令->上传点失效->用IE打开->上传马子->filename=“1.asp”;filename="1.jpg"绕过->成功得到加密文件->用社工字典生成器生成->成功解密
03
整理后
01
信息搜集与资产发现
1.C段扫描:使用ffuf+自写脚本对C段进行批量目录扫描,部署在VPS上后台运行,保存扫描结果。
2.JS文件泄露API接口:通过JS文件泄露的API接口,拼接base路径,批量访问,获取用户名规则,生成用户名字典进行喷洒。
3.Google黑语法:使用Google黑语法搜寻学号、默认密码等敏感信息。
4.Github语法:通过Github语法查找CMS源码、项目源码、敏感信息。
5.前端泄露调试器:全局搜索key、security、ak、sk、password、username等敏感信息。
6.F12 XHR截取异步流量:获取请求的API接口信息。
02
文件上传漏洞
1.FUZZ上传参数:对upload.php空白界面FUZZ参数名,爆破参数值,出现上传表单后上传shell。
2.绕过文件类型检测:修改type、fileType、breach等参数为0、1、2或all,绕过文件类型检测,上传成功。
3.IE上传绕过:用IE打开上传点,上传马子,通过filename=“1.asp”;filename="1.jpg"绕过检测。
03
XSS漏洞
1.WAF绕过:输出在JS内的闭合与注释;使用Function()代替eval();atob解密base64加密的JS,绕过对alert()的过滤;反引号代替括号与引号,绕过对()的过滤。
2.存储型XSS与换绑验证码组合:通过存储型XSS与换绑的验证码输出在前端的组合,实现任意账户无感换绑。
04
SSRF漏洞
1.FUZZ目录与参数名:通过FUZZ目录、参数名得到/xxx?image_url=xx,直接无脑get一个SSRF漏洞。
2.修改imageurl参数:将imageurl参数修改为dnslog地址,探测内网或云服务器元数据。
05
逻辑漏洞
1.水平越权:删除openid参数获取所有用户信息,用得到的账号用户名进行喷洒,成功登录。
2.任意用户密码重置:登录接口遍历手机号,密码重置时将手机号替换为其他手机号,成功重置密码。
3.认证缺陷:遍历id获得多个手机号,openid使用手机号做唯一的身份校验。
4.订单信息泄露:输入手机号获取对应订单信息,滞空手机号返回所有用户信息。
5.管理员token获取:修改username参数为admin,返回管理员token,复用此凭证访问敏感接口。
6.弱cookie问题:修改cookie的UserCode值为admin,直接获得管理员权限,尝试SQL注入成功。
7.A站点泄露B站点信息:A站点接口泄露B站点的URL、用户名、密码,直接调用B站点数据。
8.日志扫描:通过日志中的IP进行大量扫描活动,找到上传点,上传ASPX马,通过目录遍历漏洞getshell。
9.修改POST参数:修改POST参数username为admin获得管理员权限,重置管理员密码。
10.并发漏洞:通过并发漏洞进行重放攻击。
11.前端校验数据伪造:前端校验数据伪造导致的各种问题。
12.用户名枚举:使用fuzz模块生成二到三位的简单用户名,或使用TOP中文名汉字字典。
13.优惠券多次复用:尝试多次复用优惠券。
14.购买售罄商品:尝试购买售罄的商品。
15.参数遍历:通过参数遍历寻找隐藏商品、赠品、附属商品,实现0元购。
16.越权测试:注册两个账号进行越权测试。
17.响应包长度分析:分析响应包长度,寻找最大、最小、临界值。
18.未授权接口寻找:通过FUZZ、405改请求方法、5xx错误寻找未授权接口。
19.403 Bypass:通过FUZZ爆破次级目录或403 Bypass绕过限制。
20.密码爆破绕过:横向爆破用户名,或通过虚假锁定绕过密码爆破限制。
21.校验过程与处理过程分离:通过一次校验后,跳过校验过程直接进行处理过程。
22.验证码未绑定:只校验验证码是否有效,导致任意用户登录。
23.NULL情况未考虑:验证码可删除绕过校验。
24.输入校验过滤不严:导致二次注入、二次XSS。
25.MySQL数据截断:insert into数据长度溢出时截断数据,导致注册时的任意用户覆盖。
26.流程凭证未绑定账号信息:导致任意有效流程凭证可复用,实现任意用户密码重置。
27.密保问题简单可猜解:通过简单猜解密保问题绕过验证。
28.验证码回显在set-cookie中:通过set-cookie中的验证码回显绕过验证。
29.万能、默认验证码:使用万能或默认验证码绕过验证。
30.未使用的token不过期:导致任意用户越权操作。
31.token可猜解:通过猜解或预测token实现任意用户越权操作。
32.邮箱密码重置链接凭证不绑定账号:通过修改账号ID实现任意用户密码重置。
33.账号激活链接未加密:通过构造激活链接实现任意用户注册。
34.pid作为唯一校验参数:通过roleid替换pid遍历用户凭证,获取更多信息。
35.userGroupId遍历:通过遍历userGroupId以更高权限注册,提升权限。
36.404僵局打破:通过爆出目录打破404僵局,发现SSRF漏洞。
37.递归FUZZ登录接口:通过递归FUZZ得到登录接口,滞空密码免密登录。
38.管理员账号密码重置:通过简单密保问题爆破重置管理员密码。
39.司机身份越权:通过司机身份获取用户订单,替换订单号取消订单。
40.session_key泄漏:通过session_key和iv解密encrypteData参数,越权篡改数据,实现任意账号登录。
41.DDOS攻击:通过修改查询范围,拉满处理能力,达到拒绝服务效果。
06
其他漏洞
1.前端数据截图伪造:通过前端数据截图伪造与水平越权数据泄露的组合,实现退款欺骗。
2.OAuth缺陷:通过OAuth缺陷实现CSRF任意用户换绑,接管任意用户。
3.四舍五入数据处理不当:导致支付逻辑漏洞或越权逻辑漏洞。
4.前端校验关键数据:前端校验关键数据(如手机号)导致任意换绑,实现任意用户密码重置。
5.弱cookie导致的任意用户伪造:通过弱cookie篡改实现任意用户伪造。
6.验证码4-5位可爆破:通过爆破4-5位验证码绕过验证。
7.验证码回显在响应包中:通过响应包中的验证码回显绕过验证。
8.未使用的token不过期:未使用的token不过期,且不包含用户凭证信息,导致任意用户越权操作。
9.token可猜解:通过猜解或预测token实现任意用户越权操作。
10.邮箱密码重置链接凭证不绑定账号:通过修改账号ID实现任意用户密码重置。
11.账号激活链接未加密:通过构造激活链接实现任意用户注册。
12.pid作为唯一校验参数:通过roleid替换pid遍历用户凭证,获取更多信息。
13.userGroupId遍历:通过遍历userGroupId以更高权限注册,提升权限。
14.404僵局打破:通过爆出目录打破404僵局,发现SSRF漏洞。
15.递归FUZZ登录接口:通过递归FUZZ得到登录接口,滞空密码免密登录。
16.管理员账号密码重置:通过简单密保问题爆破重置管理员密码。
17.司机身份越权:通过司机身份获取用户订单,替换订单号取消订单。
18.session_key泄漏:通过session_key和iv解密encrypteData参数,越权篡改数据,实现任意账号登录。
19.DDOS攻击:通过修改查询范围,拉满处理能力,达到拒绝服务效果。
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取
读者福利 | 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程文末领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!(全套教程文末领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
读者福利 | 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
