我和女實(shí)習(xí)生那些不想說(shuō)的故事

注：本文首發(fā)地址：https://www.sec-in.com
文章作者為-句芒安全實(shí)驗(yàn)室-成員之一，歡迎微信搜索關(guān)注我們。

一、起因

又是某個(gè)天朗氣清惠風(fēng)和暢的日子，我四處觀察了一下，沒(méi)有人注意到我，于是我戴上了自己的AirPods Pro享受降噪模式下的音樂(lè)沉浸，正當(dāng)我洋洋得意并且旁若無(wú)人開(kāi)心的喝（hua）水的時(shí)候，突然感覺(jué)好像有個(gè)黑影投射在屏幕上。
我心里一慌，便故作鎮(zhèn)定的切換到了 https://www.sec-in.com 開(kāi)始沉思。
“啪！”別打我！別打我！我錯(cuò)了！我不該劃水的！

原來(lái)領(lǐng)導(dǎo)只是拍了一下我的肩膀呀…
“在看文章呀，這個(gè)平臺(tái)的文章寫(xiě)的都挺好的，不過(guò)現(xiàn)在有個(gè)系統(tǒng)需要你幫著看一下！”

“啊，看系統(tǒng)呀，好說(shuō)好說(shuō)，具體是什么情況呀！”經(jīng)過(guò)一番簡(jiǎn)單的較量，不對(duì)，是交流，原來(lái)是新來(lái)的膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生給系統(tǒng)做測(cè)試的時(shí)候提的漏洞質(zhì)量太差，領(lǐng)導(dǎo)希望我可以指導(dǎo)一下。
我拿過(guò)膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生的報(bào)告一看，密碼明文傳輸、js版本號(hào)泄露、服務(wù)器版本號(hào)泄露、X-Frame-Options頭缺失，咳咳，年輕人不講武德！這些個(gè)漏洞能拿出手，本想讓膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生耗子尾汁，又不忍心年輕人自甘墮落，于是我便拉過(guò)來(lái)膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生準(zhǔn)備送他上路，不對(duì)，是給膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生科普知識(shí)之路。

二、正文

背景：

系統(tǒng)為客戶內(nèi)網(wǎng)，自己開(kāi)發(fā)的系統(tǒng)，提供了管理員、普通用戶權(quán)限各一個(gè)，由于客戶內(nèi)網(wǎng)需VPN。

目的：

淺嘗輒止，盡可能多的尋找此系統(tǒng)漏洞。

根據(jù)此信息可以明顯知道，這個(gè)系統(tǒng)難度應(yīng)該不高。掛上VPN、開(kāi)啟代理、BP。
我們先從登陸處入手。

只有一個(gè)用戶名和密碼輸入框，沒(méi)有驗(yàn)證碼，隨便輸入一串字符、密碼,提示賬戶不存在。

此時(shí)我意識(shí)到，幫助膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生學(xué)習(xí)的契機(jī)已然來(lái)到，便轉(zhuǎn)頭看著身邊的膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生，問(wèn)道：“膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生，你覺(jué)得這個(gè)算漏洞嗎？”“不算！”膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生一臉自信的說(shuō)道?！斑@個(gè)算漏洞，下次報(bào)告記得寫(xiě)上！”我淡然道?！盀槭裁?#xff1f;”膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生一臉疑惑。我默默搖了搖頭，年輕人，好浮躁嘞！你看下去你就知道了。
ok，第一個(gè)漏洞有了，不安全的提示信息，根據(jù)此信息可爆破存在用戶名。
此處還可嘗試萬(wàn)能密碼，列舉幾個(gè)如下:

amdin'or 1=1 --+ "or "a"="a')or('a'='aor 1=1--'or 1=1--a'or' 1=1--"or 1=1--'or'a'='a"or"="a'='a'or''=''or'='or'1 or '1'='1'=11 or '1'='1' or 1=1'OR 1=1%00"or 1=1%00'xor

如果有驗(yàn)證碼可嘗試挖掘驗(yàn)證碼重用、驗(yàn)證碼繞過(guò)等漏洞。
接下來(lái)查看輸入正確賬號(hào)密碼后BP的響應(yīng)包

如上圖，可以看到響應(yīng)result的值為1。
接下來(lái)查看輸入正確賬號(hào)，錯(cuò)誤密碼后BP的響應(yīng)包

如上圖，可以看到響應(yīng)result的值為0。
通過(guò)對(duì)比我們可以發(fā)現(xiàn)登陸成功和登陸失敗的響應(yīng)包主要不同處在于result的值，成功為1，失敗為0.
所以我們可以推測(cè)，系統(tǒng)判斷登陸成功的依據(jù)是以響應(yīng)的返回結(jié)果result的值。
為了驗(yàn)證猜想，我們可以使用BP來(lái)進(jìn)行響應(yīng)內(nèi)容的修改來(lái)進(jìn)行驗(yàn)證，
這里隨便抓了個(gè)qq的請(qǐng)求舉例，

1.BP開(kāi)啟攔截請(qǐng)求，獲取數(shù)據(jù)包后選擇,攔截執(zhí)行-此請(qǐng)求的響應(yīng)

2.可以看到響應(yīng)內(nèi)容已被攔截，修改好內(nèi)容后點(diǎn)擊放包即可

按照上面方式，我們攔截輸入錯(cuò)誤密碼的請(qǐng)求并將其響應(yīng)result的值更改為1，成功繞過(guò)密碼驗(yàn)證,登錄進(jìn)了系統(tǒng)，此漏洞利用的前提一般是需要獲得已知用戶名的。

我再次看向了膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生，問(wèn)道：“學(xué)到了嗎？”“哇，這個(gè)樣子呀，原來(lái)響應(yīng)包也可以改啊！”望著膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生一臉驚嘆，虛心好學(xué)的表情，我默默的心里嘆了口氣。
內(nèi)心獨(dú)白：看來(lái)離讓膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生給我干活我舒舒服服的指揮的好日子還有段距離呀。

于是我便對(duì)膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生說(shuō)，在此你可以思考一下，發(fā)現(xiàn)第一個(gè)漏洞不安全的提示，可以根據(jù)提示信息響應(yīng)等來(lái)爆破已知用戶名，第二個(gè)漏洞，登錄繞過(guò)，通過(guò)已知用戶名修改響應(yīng)登錄系統(tǒng)，并獲取對(duì)應(yīng)用戶的權(quán)限從而獲取一個(gè)高的系統(tǒng)后臺(tái)權(quán)限。是不是環(huán)環(huán)相扣呀，所以不要輕視每個(gè)小細(xì)節(jié)，明白嗎？現(xiàn)在知道為什么不安全的提示也算漏洞了嗎？
膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生聽(tīng)完后連忙哭泣點(diǎn)頭稱是。

然后進(jìn)入系統(tǒng)后我們要有個(gè)整體的思路，之后按照思路一個(gè)點(diǎn)一個(gè)點(diǎn)去嘗試。
整體思路：

進(jìn)入系統(tǒng)之后依次查看功能點(diǎn)，對(duì)于所有的增刪改查功能，我們都可以嘗試注入、遍歷、越權(quán)、未授權(quán)訪問(wèn)、XSS等漏洞，對(duì)于有上傳點(diǎn)的可以嘗試任意文件上傳，對(duì)于文件下載處的可以嘗試目錄穿越、任意文件下載、未授權(quán)下載，對(duì)于執(zhí)行命令處可嘗試任意命令執(zhí)行。

比如我們看到一個(gè)新建按鈕

可以嘗試下XSS的payload，膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生，“你信不信這種系統(tǒng)百分之99都存在存儲(chǔ)型XSS？”“大哥！我不信”膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生你怕是飄了呀?？粗?
因?yàn)榍岸瞬辉试S直接輸入特殊字符，所以輸入正常字符，之后抓包替換發(fā)送。

“大哥！大哥！你看響應(yīng)，被轉(zhuǎn)義了呢！”膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生一臉興奮！

“大哥！大哥!你再看！沒(méi)有觸發(fā)！”膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生看起來(lái)異常的興奮。

“我內(nèi)心呵呵一笑，年輕人還是嫩呀！”
“膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生！你看著呀，注意看！”

“看到了嗎？”
“啊，這…”“大…大哥…我…”

看到這個(gè)刪除按鈕沒(méi)有啊，添加的時(shí)候不觸發(fā)，可不代表刪除的時(shí)候也不觸發(fā),學(xué)到了嗎？要知道很多時(shí)候我們插入的payload不是直接觸發(fā)的，還有很多需要找到觸發(fā)點(diǎn)才可以，做事，一定要認(rèn)真，懂嗎？

看著膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生誠(chéng)懇的認(rèn)錯(cuò)，我終究是個(gè)善良的人吶，所以我選擇原諒他了。
就這樣我?guī)еw白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生收割了幾處存儲(chǔ)型XSS漏洞后，覺(jué)的教學(xué)效果還不夠好，決定再來(lái)個(gè)越權(quán)啥的。

根據(jù)登錄系統(tǒng)時(shí)直接響應(yīng)繞過(guò)這個(gè)風(fēng)險(xiǎn)點(diǎn)推測(cè)，這個(gè)系統(tǒng)在登錄認(rèn)證、身份鑒別這塊基本應(yīng)該沒(méi)有做劃分，那么基本上有八成以上的幾率系統(tǒng)是存在權(quán)限有關(guān)的漏洞。
由于事先已提供了管理員賬號(hào)和普通用戶，就先測(cè)試垂直越權(quán)。
具體步驟：

1.利用BP分別抓取管理員和普通用戶cookie
2.找到一處管理員可操作的功能處，抓取該數(shù)據(jù)包，替換為普通用戶cookie進(jìn)行重放
3.查看響應(yīng)確認(rèn)功能是否可正常使用，若可使用，則證明存在垂直越權(quán)。

事實(shí)也顯而易見(jiàn)，通過(guò)將管理cookie替換為普通用戶cookie證明了存在垂直越權(quán)。
緊接著測(cè)試平行越權(quán)，利用管理員賬號(hào)新建兩個(gè)普通用戶，利用BP獲取其id，緊接著可點(diǎn)擊用戶屬性，替換id查看響應(yīng)是否為另外用戶信息。


如上圖，通過(guò)id即可遍歷用戶名稱，證明存在平行越權(quán)。
隨后通過(guò)進(jìn)一步分析發(fā)現(xiàn)name字段為用戶自定義昵稱，系統(tǒng)并沒(méi)有校驗(yàn)，刪除該字段并不影響。

發(fā)現(xiàn)這種情況后我接著將cookie中的id值替換為其他數(shù)值，經(jīng)過(guò)測(cè)試發(fā)現(xiàn)只要填寫(xiě)任意數(shù)值都可做有效身份使用。

隨著時(shí)間的推移，我終于來(lái)到了一個(gè)特殊的地方，一處可以執(zhí)行ping命令的地方。此處功能應(yīng)該是用于探測(cè)添加的主機(jī)是否存活，站在開(kāi)發(fā)的角度來(lái)考慮，直接調(diào)用系統(tǒng)的ping命令無(wú)疑是非常方便的，如果站在一個(gè)沒(méi)有安全經(jīng)驗(yàn)的開(kāi)發(fā)的角度思考，無(wú)疑，我是不會(huì)過(guò)濾其他系統(tǒng)命令的！然而此刻的我是什么角色？一個(gè)經(jīng)驗(yàn)豐富，作風(fēng)果斷的攻擊者！呵呵呵~

在這一刻憑借著豐富的經(jīng)驗(yàn)，我意識(shí)到，很可能是一處任意命令執(zhí)行漏洞。

于是！
我根據(jù)命令行規(guī)則使用了|（管道符）！來(lái)讓我我們拭目以待吧！
請(qǐng)?jiān)忂@無(wú)情的馬賽克吧！你只需要知道，一個(gè)任意命令執(zhí)行漏洞出現(xiàn)了…

看著我一頓操作的膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生簡(jiǎn)直驚呆了…

再結(jié)合之前的越權(quán)等問(wèn)題，我突然又想到ping命令處為GET請(qǐng)求，并且身份鑒別如此不嚴(yán)格，會(huì)不會(huì)存在未授權(quán)，于是我打開(kāi)另外一個(gè)全新的瀏覽器，將URL復(fù)制過(guò)去，果然，
一個(gè)無(wú)需登錄的任意命令執(zhí)行漏洞出現(xiàn)了。

三、尾結(jié)

到此系統(tǒng)也測(cè)得八九不離十了，按照測(cè)試過(guò)程來(lái)劃分可以分為登錄前，登錄后，簡(jiǎn)單列了一下，如下圖：

當(dāng)然，此次測(cè)試目的主要是為挖掘漏洞，所以淺嘗輒止。
另外為了更好的教導(dǎo)膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生，我對(duì)膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生說(shuō)，膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生你可以仔細(xì)思考一下，如果這些問(wèn)題放到實(shí)際環(huán)境中又會(huì)是什么樣呢？比如說(shuō)，
1.攻擊者利用不安全的提示通過(guò)爆破獲取了其中一個(gè)已知用戶名，運(yùn)氣好的可能直接獲得到管理員賬號(hào)
2.攻擊者利用響應(yīng)繞過(guò)直接登錄進(jìn)系統(tǒng)，獲得系統(tǒng)后臺(tái)權(quán)限
3.攻擊者發(fā)現(xiàn)命令執(zhí)行漏洞，利用該漏洞獲得主機(jī)權(quán)限
4.攻擊者利用獲取的主機(jī)對(duì)內(nèi)網(wǎng)橫向滲透
5.攻擊者獲取了企業(yè)部分主機(jī)權(quán)限，隨著攻擊者掌握了越來(lái)越多的信息，整個(gè)企業(yè)隨之淪陷
我們作為安全從業(yè)人員，本身就肩負(fù)著相應(yīng)的安全責(zé)任，所以我希望你可以汲取教訓(xùn)，做事一定要認(rèn)真細(xì)致，我相信你可以的！

四、末尾彩蛋

其實(shí)，只是個(gè)男小弟。
見(jiàn)上文中的文字:原諒他。
你不會(huì)真以為會(huì)有膚白貌美大長(zhǎng)腿就是不知道為什么冬天這么冷還穿這么單薄的女實(shí)習(xí)生？
不會(huì)吧，不會(huì)吧？

附贈(zèng)蝎子萊萊表情包：

總結(jié)

以上是生活随笔為你收集整理的我和女实习生那些不想说的故事的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。