SRC漏洞挖掘以及实战演示 - Locked

tzzzez   ·   发表于 2021-10-15 19:00:39   ·   实战纪实

SRC漏洞挖掘

对于新手,想上高分的唯一方法就是”肝”,找一些最新的cms漏洞,最好还是sql注入的漏洞,方便测试。测试出sql注入的漏洞后,在测试反射型xss,这样一个不小心就有两个漏洞了。但是还是要不断学习,别人挖掘0day的思路,不能光知道搞,不知道原理,这样走不长久。以下介绍一些常规渗透测试思路以及工具。

信息收集

信息收集是个很重要的环节,所谓万事开头难,信息收集的越全面,渗透的思路也就越广,一旦一个点打不穿,就换另外一个点。
这里介绍几个常用的信息收集网站:
FOFA:https://fofa.so/

fofa是个好东西啊,可以找几个小伙伴拼个会员就方便许多。fofa可以搜索cms,公益src想上高分,就从这里直接搜索对应的cms漏洞。
对应的fofa语句也就不再详细介绍,百度一堆。
TScan:https://scan.dyboy.cn/web/

TScan相当于一个比较全的搜索工具,端口,旁站,ip地址等等。
Zoomeye:https://www.zoomeye.org/

shodan:https://www.shodan.io/

如果fofa不想开会员,shodan也是个好去处,只需要登录就行。
还有一些目录扫描工具:
dirb,dirsearch,御剑工具等等,都可以从github上找到。
端口扫描工具:
nmap,御剑等等。
还有两个工具是最基本也是最万能的工具:
Baidu && Google

爆破

最基本的工具:burpsuite

burp虽然以着抓包为主作用,但是随着burp的不断更新,burp的功能远远不仅仅局限于抓包这种小事,burp还有许多插件,像目录扫描,ip地址收集,子域名收集,sqlmap什么的都可以在GitHub上找到jar包进行导入安装。
hydra
hydra也是个爆破爆破工具,但是是爆破,ssh一类登录的。kali上自带。
还有一些爆破工具就需要自己寻找和积累了。

sql注入

sqlmap(yyds),他在sql注入工具中有着不可撼动的地位。
要学会常用的参数—risk,—level,—header,—referer,—data,大部注入不会明面摆在url上,不会让你简单的测个”and 1=1”就可以说明这里存在sql注入。大部分网站还存在waf,百度也存在一些绕过waf的姿势。sqlmap如果无法进行,还可以使用python写一些sql注入的脚本,这就很考验基础,要做个”黑客”而不是去做个”脚本小子”。常见的sql注入有:报错注入,时间盲注,布尔盲注。

XSS

这里推荐一个反射型xss的测试工具:XSStrike,打sql注入的时候可以顺道测一下,虽然是个低危漏洞,但是只要审核员心情好还是可以拿到3分的。

文件上传

如果找到可以上传文件的地方就可以试一试。

还有一些奇奇怪怪的姿势

奇怪姿势1:利用报错
可以访问一些不存在的网站,找到相对应的服务器或者框架啥的。这招很实用,我就用这招找到许多ThinkPhp的网站,使用工具直接攻击。
奇怪姿势2:脚本跑分
可以github学习使用脚本,大规模大范围进行sql注入测试,sql可以写的简单一些。重点在于大规模ip跑。
奇怪姿势3:工具收集与使用
虽说做个脚本小子不好,但是脚本小子是挺快的,工具多多,姿势多多。工具大部分来自于GitHub或者一些安全公众号。

实战演练

(由于来自于渗透测试项目,所以部分重要信息打码)
首先进行信息收集

这里扫描到该站的web指纹为WordPress。目录扫描时,也同样扫到了WordPress的登录页面。(具体目录扫描就不展示了,要打码的点太多)

(看到这个大标顿时感觉亲切无比)
WordPress在kali上有个WPScan,专门用于扫描WordPress,需要在官网注册一下获取api-key才可以使用。


这里扫到了两个插件,并且两个插件都对应出了相应的漏洞。这里就以sql注入作为演示。百度找到了个时间盲注的payload的,先测试一下。
payload:
http://127.0.0.1:8080/wordpress/wpjson/wc/store/products/collection-data?calculate_attribute_counts[0][taxonomy]=test%252522%252529%252520or%252520sleep%25252810.1%252529%252523
这里做了三次URL编码,原数据为:test”) or sleep(10.1)#

(由于是国外网站,存在波动,所以可以看出这里的payload是执行了的)
没找到其他的payload,所以自己写了个时间盲注的爆破脚本。

这里得到了数据库名称。(再往下的sql注入就不演示了)
另外在WPScan上爆破出了两个用户名称,admin和admin001,于是我用弱密码去爆破了一下,结果还真让我爆破出来了。于是得到了后台。

由于本次项目的目标是getshell,但是由于孩子是个菜狗,没找到可以getshell的点,所以此次还是以失败告终。(我这个菜狗仍需努力啊)

用户名金币积分时间理由
Track-劲夫 40.00 0 2021-10-23 14:02:41 一个受益终生的帖子~~

打赏我,让我更有动力~

0 Reply   |  Until 1个月前 | 642 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2021 掌控者 All Rights Reserved.