记录一次友情渗透测试

本文转载自微信公众号《天外域》，由本人原创！

许久没有发文章了，在几篇文章中看到一些同学挺想我的 那就发一篇之前的文章吧，在公众号不让发 被封了 哎~

因为之前在i春秋讲课，在个人介绍哪里写了本人是职业红队

然后就有业务找上门了，让我对一个虚拟币的交易所进行一个渗透测试

这里直接打开项目方发过来的网站，首页是一个登录页面

直接注册需要受到上级邀请才能注册，点击注册回跳转到 /register/，然后才弹窗的

这里尝试使用f12翻阅当前页面的代码，看到了当前发起注册请求的ajax代码

`// 构建数据进行请求

    var data = {
        'username': username,
        'code': mobile_code,
        'password': password,
        'password2': password2,
        'parent_id': par_id
    };
    // 开始发送请求开始注册
    $.ajax({
        type: "POST",
        dataType: "json",
        url: "/register/",
        data: JSON.stringify(data),
        headers: {
            "X-CSRFtoken": token
        },
        success: function (res) {
            alert(res['errmsg']);
            if (res['code'] == 0) {
                window.location.href = '/'
            }
        },
        error: function () {
            alert('安全检测失败，请退后在进入')
        }
    });

`

不出意外的话，当前的par_id是当前注册账号的邀请码

这里par_id参数是前端par_user的input的参数值

这里盲猜当前邀请码是已get类型传参，因为一般邀请链接都是 url/注册页面?当前id=123

再尝试了一下爆破邀请码，成功绕过邀请码限制 注册了一个账号

成功登录进来了，功能点还挺多的

尝试测试了很多很多的功能点，并没有发现可利用的漏洞，很多次我都想要放弃了

妈耶，搞得我头皮发麻 这么多功能点都没啥可以利用的点

这里通过抓包发现 几乎全部的资源 比如js css 图片这些等等全部放在了阿里云的oss

这里我在想，ta会不会是把oss的AccessKeyId AccessKeySecret放在js 利用js来加载这些资源的

我尝试在每个页面内都搜索AccessKeyId

终于功夫不负有心人，在实名认证处发现了oss的密钥泄露

这里尝试直接利用OSS Browser连上oss

但是发现只是存储图片的

利用以上的思路 在Burp发现另一个仓库

终于看到了一点东西了，js css 嘿嘿~~~

这里直接尝试修改js文件 钓傻逼网友的后台cookie

钓了差不多两小时 终于拿到了cookie，没想到狗管理设置的后台路径这么复杂

成功登录后台

哦，这个模板看起来有点像Django写的啊 原来是python写的网站

牛逼啊，还是第一次测试python写的站。