菜鸡对水务局的一次漏洞挖掘(已提交漏洞盒子并确认),以及一些分享和警示。

唐杨   ·   发表于 2021-05-21 23:50:00   ·   实战纪实

前言
令漏洞应该是大家认为最容易挖掘的漏洞,但是很多好兄弟都无从下手,找不到一个好的目标。在讲这次纪实之前,先给大家讲一下我的找到有弱口令登陆后台的一些菜鸡技巧。

刚开始可以谷歌语法搜后台登录,管理系统登陆啊这部分内容,需要每个网站都点开看看,登陆界面的样式基本可以判断这个网站的测试难度怎么样。政府网站的后台基本上难以搜索到,而且对政府后台的测试要非常小心(本人深有体会—-有一次进入万源市政府后台被日志记录了,还删不掉呜呜呜~~)我们找到的后台管理登陆常常会遇到一些比较友好的提示,比如:用户名不存在,或者只告诉你密码不正确等等,就可以确定用户名存在与否,常见的用户名有admin、root、super等等,也可以跑字典尝试一下。

讲点有用的东西,前几天有点痴迷弱口令漏洞,发现了一些规律。
1.找到确定用户名存在的网站先找个记事本记录下来。等晚点统一爆破。

2.如果想在平台刷分,微信公众号推荐给你。账号主体下面的公司,一般都会承接一些本地的app制作,如果你是制作人,app一般非常精美,但是后台管理界面一般都是简单,而且这些app服务范围有限,一般后台的设防非常低,是刷分的好去处,嘿嘿(我的秘籍没了)

上完课中午吃饭时间微信随便搜一搜,就能找到。

正片开始:首先呢,找到了水务局的后台管理网站。方法不说了,奉劝各位好兄弟对政府网站少花心思,风哥每次上课都要宣读网络安全法,被抓了别怪好兄弟没说过哈哈。


看到这个网站,没有提示任何用户名存在,而且有验证码。想用burp首先要解决验证码问题,这里分享小盒子辅导员分享的脚本~~https://github.com/c0ny1/captcha-killer
对于有些未遮挡变形的验证码,脚本爆破非常好用。
抓包部分不详细讲解了,怕有些大佬找头找到后台去了哈哈
主要是想告诉大家进去之后的正确做法:
1.核对(非常重要)
进入后台界面后

对网站的部分,内容,排版进行核对,确定不是虚假后台

2.不要翻阅里面的通知,文件签发等等。这些后台不仅仅管理网站的运行,还包括一些上级签发的重要通知,有可能还在审核的通知和进程,不要擅自翻阅和传播里面的内容(最重要)。
3.切勿在这些网站上留后门,做可能会崩站的渗透测试,立马上传漏洞是最好的处理方法。如果影响政府办公或者改变了网站内容,后果非常严重。说不定就是好兄弟十年之后去接你了^_^
4.burp抓包时候,password=1,但是抓包内容是C4CA4238A0B923820DCC509A6F75849B或者一串组合码。这些前端加密是在爆破时候经常遇到的,MD5之类的加密现在非常常见。在burp中已经自带了转密功能。

哈哈,以上都是一些个人小经验,对我自己也有些借鉴作用,希望大家能给我意见改正自己,学无止境我还需要继续加油呀!
最后,这个漏洞已经确认,大佬们别给水务局的安全员打哭了………………

用户名金币积分时间理由
Track-聂风 50.00 0 2021-05-27 15:03:14 一个受益终生的帖子~~

打赏我,让我更有动力~

3 Reply   |  Until 13天前 | 386 View

Track-聂风
发表于 21天前

我极度反对同学挖掘政府类站点

评论列表

  • 加载数据中...

编写评论内容

hu05877
发表于 16天前

兄弟 10年以后再见,好好踩缝纫机

评论列表

  • 加载数据中...

编写评论内容

spider
发表于 13天前

现在分那么高了吗?我之前挖封顶4分

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者