本文作者:Track – blueaurora一、获取web端管理员权限0x01简单查看一下,发现存在登录以及证书查询操作指南等功能因该站特征较为明显,所以对页面进行了强打码0x02弱口令测试(无成果)既然存在登录口,那么肯定要试试弱口令了,开干!经过尝试发现可以对登录用户进行爆破,密码加密了,看着像base64但发现并不是,只能通过爆破发现的用户名手动的测试几个密码了。经过手工测试,最后发现一个也没成功的,这运气有点衰啊?,好好好,那就看看注册页面吧0x03注册用户(无成果)简单的测试下看看是否存在xss和sql注入,发现并不存在,只能老实注册用户了,但是最后发现需要管理员审核,一直没有通过?中间注册时发现密码是高强度密码(密码由特殊符号、大小写字母和数字3种组合并且长度大于8位!)这就算爆破也很难爆破到了,直接放弃。0x04打入内部群组(获取账号名和默认密码格式)突然发现存在操作手册!看看是否存在什么可利用信息(部分手册可能泄露账号和密码,以及一些其它可供后期利用的信息)发现默认用户名是手机号码,且存在默认密码和一个技术支持qq群。然后申请加入qq群,查看聊天记录发现了默认密码格式和手机号,默认密码为XXXX+电话或身份证后6位+XXXX,,尝试去登录发现全都是失败的?这些人的安全意识真不错?,现阶段知道的就是只要登录过的用户就一定修改了密码。后面让备注自己单位和名字,没有备注就给我踢了?0x05js审计(获取大量接口)通过前端代码审计发现存在大量接口,尝试几个发现都需要权限才能访问,又回到了登录问题0x06通过google大法获取登录账号(登录)因为是教育平台可以通过google语法对学校资产进行收集获取教师电话,然后再根据密码格式进行登录尝试经过一顿FUZZ之后成功的登上了平台。但是!除了完善资料外,没有其余功能点,且必须修改默认密码后才能获取功能和内容。0x07越权(获取账号敏感信息)通过对完善资料处进行抓包发现可通过输入用户名获取用户敏感信息ID、姓名、电话、身份证等信息(但很局限,因为前提需要知道用户名是什么)0x08修改默认密码获取正常功能默认密码修改处需获取手机验证码,无法绕过,该怎么办呢??对js源码进行审计发现与修改密码相关的接口有三个,其中一个为当前修改默认密码需要获取短信验证码直接忽略,一个提示只可以修改自己的账号密码,第三个提示权限不足很明显现阶段第二个接口可以尝试用户名密码修改,只是不知道需要哪些具体参数。继续翻看js发现请求参数名输入密码后仍然提示只允许修改自己密码,那么推断缺少一个确认用户的参数,根据前面的越权可以发现存在确认用户的参数可能是id,也可能是username这两个值通过验证为username参数,并修改密码成功重新登录后获取正常功能点0x09信息泄露由于网站接口较多,对部分接口进行测试发现存在需要可以越权访问的接口和部分权限不足,以及不知道正确路径的接口其中存在有接口存在大量信息泄露,泄露该域所有教师人员信息,需先通过接口获取学校key值之后再通过另一个user接口获取当前在校职工信息mysql数据库账号密码等信息,但未在互联网上开放端口。0x10提权=>任意密码重置通过某接口查看可获取当前在线用户列表,包含token、用户名等信息之前密码修改中不是存在一个权限不够的接口吗?,那么如果我获取到管理员的token或其他高权限token是不是就能重置了呢?答案是yes。不过此处因为任意密码重置,判定要素是用户ID。0x11获取管理员页面通过现阶段已获取sysadmin权限的token,如何获取管理员页面呢一、可以通过用户创建接口直接创建一个管理员用户二、通过用户编辑接口使普通用户获取管理员权限三、使用管理员token获取管理员页面和功能使用第三种方案获取管理员页面在登录管理中心时会通过Permission接口通过当前token判断用户所拥有的功能并返回,(如果提前替换token会导致账号掉线,从而使token失效)然后通过替换Permission接口的返回值来获取管理员页面和功能点。普通用户返回包大小为几千管理员返回包大小为上万,替换内容查询内容时需每次都替换token很麻烦,且需较快手速,否则会响应超时,可使用插件modheader替换token即可0x12总结渗透思路往往不要太局限了。当我们对某一个登录框站点没有思路时,可以尝试找找是否存在一些说明手册,因为功能点繁多,面向大量的不同单位人群,可能会存在qq群等,好对一些用户问题进行处理,那么就可以通过谷歌语法,对网站名 + 群等关键字搜索,也可以直接在qq群搜索网站名称,或开发商名称进行查找,当你进入他们内部的群时,就可以获取很多敏感信息了,甚至可以直接向运维人员申请修改密码等操作。最后的最后白嫖10rank
