工联众测项目--漏洞挖掘经验分享

好久没写文章了,那今天就分享一下最近的关于某众测平台项目挖掘
文章涉及漏洞已交由相关平台


拿到测试范围便开始测试

资产收集

先是放到hunter上进行了一批资产搜集
最后还是选择了主站作为攻击目标(有登录注册功能,且用户功能较多
image

用户遍历漏洞

测试任意用户注册,短信爆破等漏洞,无果。
随后注册了一个测试账号进入后台

image

然后打开个人中心
发现存在疑似用户id的数字,尝试修改
image

抓包发现id参数可以返回对应用户的姓名和注册邮箱以及用户分组等,
并且可以通过重放来遍历用户信息,
于是我简单爆破了一下前一千位用户

image

发现第一个用户,也就是id为26的用户为admin分组

image

中危拿下

再次返回前台拿下弱口令

这里知道了管理员的账号,简单的测试了一下几个密码,不对,但是不能这么快放弃。
于是我看了看账号,账号是以 ‘xiaoming@126.com’ 的形式,(这里让小明同学来背锅)
于是我猜测密码也跟名字有关(心理学??
然后密码依旧是xiaoming,弱口令成功进入后台
image

高危拿下
弱口令yyds!

accesskey泄露导致oss被接管

测试后台功能未发现无果,
于是我在翻找js接口的时候
意外发现js中泄露accesskey和accesskeySecret
image
使用行云管家添加查看
image
成功接管该服务器
image
但此时由于不知道服务器登录密码,而且测试的是上线业务(修改密码来远程控制是大忌!)
所以这里可以用Oss Browser浏览器来管理服务器文件
image

image

严重拿下


image
image

posted @   LinkPoc  阅读(265)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· 百万级群聊的设计实践
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
· 永远不要相信用户的输入:从 SQL 注入攻防看输入验证的重要性
点击右上角即可分享
微信分享提示