我和女實習生那些不想說的故事

注：本文首發地址：https://www.sec-in.com
文章作者為-句芒安全實驗室-成員之一，歡迎微信搜索關注我們。

一、起因

又是某個天朗氣清惠風和暢的日子，我四處觀察了一下，沒有人注意到我，于是我戴上了自己的AirPods Pro享受降噪模式下的音樂沉浸，正當我洋洋得意并且旁若無人開心的喝（hua）水的時候，突然感覺好像有個黑影投射在屏幕上。
我心里一慌，便故作鎮定的切換到了 https://www.sec-in.com 開始沉思。
“啪！”別打我！別打我！我錯了！我不該劃水的！

原來領導只是拍了一下我的肩膀呀…
“在看文章呀，這個平臺的文章寫的都挺好的，不過現在有個系統需要你幫著看一下！”

“啊，看系統呀，好說好說，具體是什么情況呀！”經過一番簡單的較量，不對，是交流，原來是新來的膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生給系統做測試的時候提的漏洞質量太差，領導希望我可以指導一下。
我拿過膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生的報告一看，密碼明文傳輸、js版本號泄露、服務器版本號泄露、X-Frame-Options頭缺失，咳咳，年輕人不講武德！這些個漏洞能拿出手，本想讓膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生耗子尾汁，又不忍心年輕人自甘墮落，于是我便拉過來膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生準備送他上路，不對，是給膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生科普知識之路。

二、正文

背景：

系統為客戶內網，自己開發的系統，提供了管理員、普通用戶權限各一個，由于客戶內網需VPN。

目的：

淺嘗輒止，盡可能多的尋找此系統漏洞。

根據此信息可以明顯知道，這個系統難度應該不高。掛上VPN、開啟代理、BP。
我們先從登陸處入手。

只有一個用戶名和密碼輸入框，沒有驗證碼，隨便輸入一串字符、密碼,提示賬戶不存在。

此時我意識到，幫助膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生學習的契機已然來到，便轉頭看著身邊的膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生，問道：“膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生，你覺得這個算漏洞嗎？”“不算！”膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生一臉自信的說道。“這個算漏洞，下次報告記得寫上！”我淡然道。“為什么？”膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生一臉疑惑。我默默搖了搖頭，年輕人，好浮躁嘞！你看下去你就知道了。
ok，第一個漏洞有了，不安全的提示信息，根據此信息可爆破存在用戶名。
此處還可嘗試萬能密碼，列舉幾個如下:

amdin'or 1=1 --+ "or "a"="a')or('a'='aor 1=1--'or 1=1--a'or' 1=1--"or 1=1--'or'a'='a"or"="a'='a'or''=''or'='or'1 or '1'='1'=11 or '1'='1' or 1=1'OR 1=1%00"or 1=1%00'xor

如果有驗證碼可嘗試挖掘驗證碼重用、驗證碼繞過等漏洞。
接下來查看輸入正確賬號密碼后BP的響應包

如上圖，可以看到響應result的值為1。
接下來查看輸入正確賬號，錯誤密碼后BP的響應包

如上圖，可以看到響應result的值為0。
通過對比我們可以發現登陸成功和登陸失敗的響應包主要不同處在于result的值，成功為1，失敗為0.
所以我們可以推測，系統判斷登陸成功的依據是以響應的返回結果result的值。
為了驗證猜想，我們可以使用BP來進行響應內容的修改來進行驗證，
這里隨便抓了個qq的請求舉例，

1.BP開啟攔截請求，獲取數據包后選擇,攔截執行-此請求的響應

2.可以看到響應內容已被攔截，修改好內容后點擊放包即可

按照上面方式，我們攔截輸入錯誤密碼的請求并將其響應result的值更改為1，成功繞過密碼驗證,登錄進了系統，此漏洞利用的前提一般是需要獲得已知用戶名的。

我再次看向了膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生，問道：“學到了嗎？”“哇，這個樣子呀，原來響應包也可以改啊！”望著膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生一臉驚嘆，虛心好學的表情，我默默的心里嘆了口氣。
內心獨白：看來離讓膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生給我干活我舒舒服服的指揮的好日子還有段距離呀。

于是我便對膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生說，在此你可以思考一下，發現第一個漏洞不安全的提示，可以根據提示信息響應等來爆破已知用戶名，第二個漏洞，登錄繞過，通過已知用戶名修改響應登錄系統，并獲取對應用戶的權限從而獲取一個高的系統后臺權限。是不是環環相扣呀，所以不要輕視每個小細節，明白嗎？現在知道為什么不安全的提示也算漏洞了嗎？
膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生聽完后連忙哭泣點頭稱是。

然后進入系統后我們要有個整體的思路，之后按照思路一個點一個點去嘗試。
整體思路：

進入系統之后依次查看功能點，對于所有的增刪改查功能，我們都可以嘗試注入、遍歷、越權、未授權訪問、XSS等漏洞，對于有上傳點的可以嘗試任意文件上傳，對于文件下載處的可以嘗試目錄穿越、任意文件下載、未授權下載，對于執行命令處可嘗試任意命令執行。

比如我們看到一個新建按鈕

可以嘗試下XSS的payload，膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生，“你信不信這種系統百分之99都存在存儲型XSS？”“大哥！我不信”膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生你怕是飄了呀。看著!
因為前端不允許直接輸入特殊字符，所以輸入正常字符，之后抓包替換發送。

“大哥！大哥！你看響應，被轉義了呢！”膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生一臉興奮！

“大哥！大哥!你再看！沒有觸發！”膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生看起來異常的興奮。

“我內心呵呵一笑，年輕人還是嫩呀！”
“膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生！你看著呀，注意看！”

“看到了嗎？”
“啊，這…”“大…大哥…我…”

看到這個刪除按鈕沒有啊，添加的時候不觸發，可不代表刪除的時候也不觸發,學到了嗎？要知道很多時候我們插入的payload不是直接觸發的，還有很多需要找到觸發點才可以，做事，一定要認真，懂嗎？

看著膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生誠懇的認錯，我終究是個善良的人吶，所以我選擇原諒他了。
就這樣我帶著膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生收割了幾處存儲型XSS漏洞后，覺的教學效果還不夠好，決定再來個越權啥的。

根據登錄系統時直接響應繞過這個風險點推測，這個系統在登錄認證、身份鑒別這塊基本應該沒有做劃分，那么基本上有八成以上的幾率系統是存在權限有關的漏洞。
由于事先已提供了管理員賬號和普通用戶，就先測試垂直越權。
具體步驟：

1.利用BP分別抓取管理員和普通用戶cookie
2.找到一處管理員可操作的功能處，抓取該數據包，替換為普通用戶cookie進行重放
3.查看響應確認功能是否可正常使用，若可使用，則證明存在垂直越權。

事實也顯而易見，通過將管理cookie替換為普通用戶cookie證明了存在垂直越權。
緊接著測試平行越權，利用管理員賬號新建兩個普通用戶，利用BP獲取其id，緊接著可點擊用戶屬性，替換id查看響應是否為另外用戶信息。


如上圖，通過id即可遍歷用戶名稱，證明存在平行越權。
隨后通過進一步分析發現name字段為用戶自定義昵稱，系統并沒有校驗，刪除該字段并不影響。

發現這種情況后我接著將cookie中的id值替換為其他數值，經過測試發現只要填寫任意數值都可做有效身份使用。

隨著時間的推移，我終于來到了一個特殊的地方，一處可以執行ping命令的地方。此處功能應該是用于探測添加的主機是否存活，站在開發的角度來考慮，直接調用系統的ping命令無疑是非常方便的，如果站在一個沒有安全經驗的開發的角度思考，無疑，我是不會過濾其他系統命令的！然而此刻的我是什么角色？一個經驗豐富，作風果斷的攻擊者！呵呵呵~

在這一刻憑借著豐富的經驗，我意識到，很可能是一處任意命令執行漏洞。

于是！
我根據命令行規則使用了|（管道符）！來讓我我們拭目以待吧！
請原諒這無情的馬賽克吧！你只需要知道，一個任意命令執行漏洞出現了…

看著我一頓操作的膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生簡直驚呆了…

再結合之前的越權等問題，我突然又想到ping命令處為GET請求，并且身份鑒別如此不嚴格，會不會存在未授權，于是我打開另外一個全新的瀏覽器，將URL復制過去，果然，
一個無需登錄的任意命令執行漏洞出現了。

三、尾結

到此系統也測得八九不離十了，按照測試過程來劃分可以分為登錄前，登錄后，簡單列了一下，如下圖：

當然，此次測試目的主要是為挖掘漏洞，所以淺嘗輒止。
另外為了更好的教導膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生，我對膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生說，膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生你可以仔細思考一下，如果這些問題放到實際環境中又會是什么樣呢？比如說，
1.攻擊者利用不安全的提示通過爆破獲取了其中一個已知用戶名，運氣好的可能直接獲得到管理員賬號
2.攻擊者利用響應繞過直接登錄進系統，獲得系統后臺權限
3.攻擊者發現命令執行漏洞，利用該漏洞獲得主機權限
4.攻擊者利用獲取的主機對內網橫向滲透
5.攻擊者獲取了企業部分主機權限，隨著攻擊者掌握了越來越多的信息，整個企業隨之淪陷
我們作為安全從業人員，本身就肩負著相應的安全責任，所以我希望你可以汲取教訓，做事一定要認真細致，我相信你可以的！

四、末尾彩蛋

其實，只是個男小弟。
見上文中的文字:原諒他。
你不會真以為會有膚白貌美大長腿就是不知道為什么冬天這么冷還穿這么單薄的女實習生？
不會吧，不會吧？

附贈蝎子萊萊表情包：

總結

以上是生活随笔為你收集整理的我和女实习生那些不想说的故事的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。