记第一次cnvd的挖掘

(本文章仅供渗透测试和漏洞挖掘学习，相关数据已做脱敏)

 案例方面因为害怕涉泄露太多敏感信息就简略（其实也没啥好说的，毕竟是做fuzz出来的漏洞...）

在某一次cnvd的挖掘中，我发现某个大厂商旗下的产品登录页面，该产品是个转码系统，就是用来实现流视频技术的那种系统。

其实对于这种有登录界面的系统我多半是不报什么希望的，现在很多大厂的产品都针对弱口令和密码爆破做了相应的防护措施，有的甚至严格到输错五次就能禁你ip一天。遇到登录界面基本上就是测一下弱口令和敏感目录，没有基本就没下文了。所以，首先我按照常规思路简单测了下目录和弱口令，果不其然没啥结果。然后想着测都测了，就挂上漏洞扫描器上扫一扫。结果漏扫测出了一个put任意文件上传漏洞。

 但是很遗憾，上传的目录只限于前端，如果试图上传到后端都会报302。这意味着无法上传shell文件来getshell。然后在cnvd搜了一下该产品发现已经在cnvd上披露了文件上传漏洞。到这里，本来燃起的希望又快灭了。但是又不死心，便抱着试试看的心态传了几个txt文件当案例交了上去，果不其然被拒了。。。

 在被拒后，我想试试看这个漏洞是不是Tomcat put方法任意文件上传漏洞（CVE-2017-12615），结果又失败了。到这里我也放弃了。但是，在后面的某天我突然想起put上传方法可以覆盖原文件，如果用put方法来覆盖前端目录下的js文件就能达到和存储型xss一样的效果。在接下来的测试中，我发现这个思路是可行的。我通过覆盖原文件成功实现了在前端目录下的任意js代码执行。这里提一嘴，我在审计前端代码时发现本来该系统的前端文件是通过生成随机编号再通过接口动态获取服务器上的js文件。估计开发者也是想到了这种可能，想用这种方法来防御。在前几次测试中，也确实会存在我上传了文件想覆盖原文件，结果发现该文件的编号又变了，等于系统新请求的文件覆盖了我上传的文件。但是，最骚的事情出现了，我尝试不带文件名后面的接口进行上传发现居然成功了（如下）

 

然后又用xss平台测了一波，确认可以请求远程文件，也就是可以利用这个漏洞来盗取cookie和搞网页挂马。测到这里，差不多就可以交了。在提交后的两天，cnvd官方也是很快通过了一审二审，截止目前编号和证书都下来了。

 

通过这个案例，其实我们可以总结一些挖洞的思路出来。比如说，对于某些特定的系统可以去考虑put请求，就比如案例中的视频转码系统，因为该系统需要经常上传大型的视频文件，所以使用了上传文件更为方便快捷的put请求。再比如，对于文件上传漏洞我们在利用的时候不一定要getshell才算成功，只要能执行代码都行。最后就是善用fuzz，在黑盒挖洞的过程中fuzz测试其实可以说占了百分之九十。

关于我个人的挖洞思路其实和网上将的大部分一样，基本就是利用资产搜索引擎去做资产收集，然后筛选出有价值的资产去做fuzz。这里资产搜索引擎除了用的人最多的fofa外，我个人还推荐hunter和zoomeye，这三款都是国产的在线资产搜索引擎。其中hunter采用了比较有特色的积分制，就是每日给你免费的五百积分，搜索和导出资产都会消耗积分。如果和我一样是白嫖党的建议在资产收集初期更多使用hunter，因为它可以查看的资产数量更多。然后在确定了目标后建议使用fofa，因为fofa对于网站icon和fid的集成度更好，同时最主要的是这两个语法在fofa是免费的，在另外两个引擎貌似要收钱。至于zoomeye的话，最有特色的地方就是它的导航，有应用导航，可以在你不确定该挖什么产品的时候提供思路。

然后对于资产和漏洞挖掘的目标筛选，除了按照cnvd的证书标准，个人建议可以考虑所有千万级别的厂商，不一定非得到五千万，基本上稍微有点规模的厂商cnvd都会收录的，至于给不给证书不清楚，网上有的案例是给了的，有的没给。除此之外，筛选目标一定要弄清厂商归属，最好是页面能有厂商标志或者是厂商的名字，这样会省去我们去验证归属的时间。而且这一点还涉及到挖的漏洞是事件漏洞和通用漏洞，因为有很多厂商的系统是自建的，其中有很多不是互联网行业的厂商，他们的某个系统可能就是自己人做的只给单位内部使用，这种情况不可能满足通用漏洞的条件，而事件型漏洞只限于三大运营商和gov相关单位。同时筛选的时候，还要考虑版本，cnvd对于同一产品的不同版本的同一漏洞是收录的，这一点很多cnvd案例都提到过。

最后就先说这么多，关于漏洞挖掘的思路后面有时间还会更新，希望大家都能挖到漏洞。