完整的渗透测试实战纪实，低危漏洞组合成高危利用！

Posted 2021-06-28 程序员启航

0x00一份好的报告标题也很重要哦

PS：原谅下图重码，此漏洞还没修复
报告详情 漏洞标题某国内大厂招聘系统测试 漏洞url*

0x01本次渗透流程

我们一步一步来，
首先我们从忘记密码那里开始，这里的验证码可以绕过
我们可以输入用户名来批量爆破存在的用户

因为它这里的数据包是没有验证码的参数的，直接拿top 500姓名来跑

248 — 存在
272 — 不存在
367 —{“code”:{“code”:”0005”,”msgId”:”**“,”msg”:”该用户名/手机号/邮箱关联多个账号，请尝试使用其它方式登录，或联系管理员获得帮助”},”bo”:null,”other”:null}
然后随便输入一个存在的先拿
返回长度367 看看
zhangjian

直接出来了部分手机号。然后记一下

邮箱也出来了，然后我还是
通过忘记密码输入账号这一处爆破出该账号对应的手机号

Zhangjian 手机号136**5670 然后邮箱也是一样的爆破方法
就不再演示了
就这样就能把它大部分的注册用户的 信息爆破出来
因为是校招网站，所以用户名大多数都是直接姓名就行了
这里的手机号是最关键的！！！
后期我来详细说明一下
然后我们来看一下 返回长度为 248的
用户名 为 wangfang

然后出来了部分邮箱和手机
176**
Wang**@163.com
手机号还是那么爆破，邮箱wangfang*
去爆破那一位的字母就行了26位很好爆破如下图所示

Wangfang**@163.com 手机号按照之前的流程就行
这样 我就可以把返回包长度是248 和 367 的手机号+邮箱+用户名全部爆破出来

以上就是忘记密码处的逻辑漏洞
通过对用户名的爆破出来了部分信息，再去通过部分打码手机号和邮箱爆破出来完整的手机号和邮箱

然后让我们回到登录界面，它这里登陆是没有验证码的
所以，我们就可以嘿嘿，爆它！

PS 它这里输入用户名 ，如果关联多个账号返回包的信息
就会返回多个账号的手机号信息，我们又可以爆破一波嘿嘿

当然当然回归正题

直接拿姓名 + 姓名123456 先去跑一波
看返回长度是6开头的，返回包全是信息啊，手机号，我们就可以通过忘记密码那里拿到完整的手机号，或者登陆那里也行

不过先不要在意，有个7开头的让我们看看

休息中，岂不是查看不了！！！

要获取验证码，，，，不过怕，我还有办法
这里登陆我测试的账号

蹬蹬，出来信息啦
让我来解释一下，怎么出来的信息
首先我们的返回包
{“code”:{“code”:”0003”,”msgId”:”ucs.status.dormant”,”msg”:”该账号休眠中”},”bo”:{“accountId”:”A0382861720879284224”,”userId”:”U0382861720879284224”,”userType”:”0”,”subjectId”:”S0382861720879284224”,”userName”:”*un”,”token”:”c5303F2732af4f389982681523383Bbc2079BF75214b48f1bA97ffb351Da915f”,”refreshToken”:”d84e92dfd2917f3dd3d23d9611087ffd”,”startVaildTime”:”2020-04-05 19:49:44”,”failureCycle”:3600},”other”:null}
这么多信息，不利用一下可惜了
我发现它里面判断用户的信息是token的值，这里登陆返回了token的值
所以我就可以，下图是我测试账号的包

是我点击用户设置这里抓的包
然后我们需要做一些替换
就是把 这个是用户的账号值，替换成如下这个
A0382861720879284224
然后把token也换了，变成如下图所示

就能成功读到信息啦。
这样我们就不用登录也行
信息全部读出来了，这是我爆破密码出来的结果，

然后它验证码这里也能爆破不过结果有限，
因为没限制错误次数，限制了时间
但是我也能试试
这里重点！！！，这就是说为什么我说手机号很重要了，
不过还是等一会再说
先爆破这里的
跟它赌！

Zhanglei 的账号
然后发送到邮箱里，要动静小一点
为什么要说赌
因为它这里的限制是时间限制，而我们有限的时间顶多能爆破 800000-900000 也就是100000个验证码，
所以就是赌！，不断的去爆破
我的思路就是
定了一个区间，然后不断去爆破这个区间的比如说700000-800000 这个区间，不断的发送验证码
不断的去爆破这个区间的验证码

这里的包很方便，我们验证码只要对了，密码直接重置为 zkaq123456

惊喜来了！！！！！！！！！！！！！！！！
渗透果然需要运气，
看！！！我成功验证了我的想法，这个账号可不是我自己创建的哦。。。
定了区间我去跑成功跑出来了！，把密码重置成zkaq123456了

登录上去看看，成功！

证明了我的攻击想法可行！
而且我们完全可以批量搞啊
因为我们开头那一步，可以批量获取存在的用户名
然后进入到如下图这一步。
发送验证码抓包，开始爆破。然后继续回去
输入其他用户名，抓包开始爆破

这样的不断循环，可以达到任意用户密码重置的效果
缺点就是有点麻烦，但是能对这个网站造成极大的危害！
因为你简历的部分信息泄露了 啊
验证想法，没敢太多线程，怕造成不利影响

只是验证我的攻击手法可行
可以看见我定的区间都是700000-800000
然后我们就可以发送验证码不用管了
有效时间是 10分钟

还有一处漏洞也比较严重
我给它取名为，无限 的 邮箱+手机 短信轰炸
没有错！因为这里我达不到一分钟炸它 15+
但是！ 我可以一直炸它留的联系方式，也就是邮箱+短信。可以炸 一天
下面让小弟来解释一下攻击流程
首先让我们输入一下账号

然后到达这一步，然后点击获取动态码
会显示如下图这样

已经发送了。然后我们刷新页面再进去
刷新页面回到这一步

再输入账号进去

这样就能再次发送短信验证码了
发个很多次，会出现如下图所示的情况

怎么办？？？
不不慌
手机号炸不了，还有邮箱啊
再次刷新页面重新进入
然后如下图所示
点击邮箱发送验证码，如下图成功发送，
然后让我们开始炸邮箱

当邮箱也出现下图这种情况
怎么办

不慌！！！！！！！！！！

哈哈哈哈哈，让我们再回来炸手机
轰炸成功，如下图所示
嘻嘻，这里就是形成了一个完美的闭合，限制就是服务器开小差
解决方法就是炸完手机，炸邮箱

攻击结果如下图所示，

这里的登录界面动态码也能配合我们，同样是刷新就会可以重新发送验证码了。

缺点就是一分钟只能5+次，然后服务器开小差但是优点是
我可以同时炸单个邮箱和手机，而且可以无限炸
上图就是证明，我的轰炸是有效果的，成功的发送了验证码
因为我觉得如果能无限发，让他一直收到验证码，效果不亚于短信轰炸，而且这一处也是漏洞
通过刷新绕过了短信验证码的限制

0x02本次渗透遇到的问题

这次渗透，其实好多漏洞你会发现都是一些无关紧要的，比如打码手机号，获取验证码
还有一些存在的用户名，如果你去单纯提交这些漏洞很可能是低危或者被忽略，这怎么能行呢
毕竟是我们辛辛苦苦挖的啊，所以这时候你要去思考，如何变废为包，网上大把的有低危xss结合漏洞然后变成高危的
其实逻辑也可以这么玩，用逻辑打组合拳危害更高哦。要学会把无关紧要的洞串联起来，所谓渗透测试的本质就是信息收集
如果当你拿到了人家的账号列表，或者手机号，那么这算不算就是一种信息呢，既然你把信息拿到了，为什么就不去深入一下呢
利用这些信息，接着去打。有时候拿到的信息要学会整理，在这个测试之前，我拿到了这些信息之后，熟悉了这个系统的功能，然后我就去思考
我利用手头的东西能做些什么，我可以利用它去获取那些能危害到用户的东西。一次完整的渗透测试，这一切都是必不可少的，尤其是挖src
你想挖一些严重的洞，就要学会将手头的信息危害最大化，这样才能变废为宝
以上均上小菜鸡一些个人感悟，仅供采纳哦！！！

0x03总结一下

所有漏洞
登录界面可批量爆破统一密码
而且有6次机会，输入次数过多 就gg

所以我通过，用户名 用户名+123456去爆破 ，去遍历用户名就不会被封
而且成功在top500爆破出一个有效账号，我还可以去换密码爆破，但是证明漏洞即可不深入了
（我还有个10w用户的密码字典没去爆破，点到为止）
漏洞二
在忘记密码那里，通过用户名，去获取所有有效 用户名的打码邮箱+手机号
然后根据忘记密码的功能，去获取完整的用户邮箱+手机号
我能批量拿到很多，但遵守规则点到为止
手机号能获取到很多有效的手机号
漏洞三
可以批量重置用户的密码，这里说明一下为了证明我的攻击想法有效，所以才重置了一个用户
这里是它的验证码只有时间限制，没有错误次数限制，所以我通过爆破一个固定区间的验证码，成功重置了一个用户的密码。
因为光提出假设，是不会过审的，唯有实践出来结果才行。
然后我可以批量重置密码，就是批量去跑账号，但是点到为止叭，毕竟改密码不是啥小事情
漏洞4
通过刷新，绕过发送验证码的限制，并且达到对用户的邮箱+手机无限发送验证码的攻击
然后结合漏洞三 获取很多手机号，就可以达到大规模骚扰的地步

5.

然后这里有个洞还可以结合一下
最终能达到任意用户密码重置！！！！！！！！！！

因为我是可以批量发送验证码给用户
然后只要这个区间没有，接着发，发到有为止，10分钟一次。跑个几次总有验证码到达我们这个区间的
具体就不实践了，上图我已经验证了这个方法的可行性
因为我们可以批量发送验证码，我可以给用户的邮箱+手机一直发
然后我的验证码又可以一直爆
所以发送一个等10分钟，没结果再发，或许我们可以缩短区间，因为它验证码是随机的嘛
等5分，没有就接着发，一直发到成功爆破改掉密码为止
上图的爆破验证码的截图+加一直发送验证码的截图 能证明我这个攻击的可行性
希望重视！，因为这样的话，如果给我授权，我能把手头上有效的用户，全部密码重置了
很简单，跑验证码就完事了，反正可以批量

（然后泄露用户的邮箱+手机号
我觉得很严重，毕竟是招聘网站，一旦泄露了，就可以伪造面试，就可以进行诈骗，获取信息等操作啊，还可以发送钓鱼邮件啊毕竟知道你在这里注册过账号）
汇报完毕！