用户
搜索
  • TA的每日心情
    开心
    7 小时前
  • 签到天数: 206 天

    连续签到: 69 天

    [LV.7]常住居民III

    i春秋-见习白帽

    Rank: 3Rank: 3

    9

    主题

    54

    帖子

    1845

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2019-11-4

    核心白帽春秋游侠

    发表于 2021-3-9 17:34:03 816373
    一、前言
    对于挖漏洞的人来说,证书和奖金是使他们挖洞的动力源泉。本着混几本证书的目的,我踏上了挖漏洞的道路,这次就来讲述一下我拿到第一张cnvd原创漏洞证书的过程。(首先由于技术有限,不能很好的诠释,希望各位大佬看了轻喷,谢谢各位师傅观看!!)
    二、通用型漏洞
    首先最开始我是不了解事件型漏洞跟通用型漏洞的区别,当时我个人的理解为事件型漏洞为单例网站存在漏洞,通用型漏洞为同一建站厂商多个建站网站存在相同类型漏洞。其次提交cnvd漏洞平台需要10例案例好像,并且所述案例都属于同一建站厂商且存在相同类型的漏洞。
    三、漏洞挖掘思路历程
    本次挖掘的漏洞类型是信息泄露(未授权访问),其实就是网站的源码备份被攻击者下载下来,从而导致网站的数据泄露。
    访问http://xxx.com/admin.zip,此url存在网站源码任意下载,该漏洞往往会导致服务器整站源代码或者部分页面的源代码被下载,利用。源代码中所包含的各类敏感信息,如服务器数据库连接信息,服务器配置信息等会因此而泄露,造成巨大的损失。被泄露的源代码还可能会被用于代码审计,进一步利用而对整个系统的安全埋下隐患。

    2.png
    3.png
    这个时候我们可以将网站的备份信息下载下来利用,然后查看厂商的信息,从而获取更多存在该漏洞的案例站点。在网页中找到“技术支持:上海XXX公司”,然后可以利用搜索引擎搜索  index:技术支持:上海XXX公司
    也可以用其他搜索软件搜索,例如fofa、ZoomEye等
    4.png
    通过搜索引擎我们找到了建站厂商建设的多家站点,我们就可以一个站点一个站点的去测试漏洞是否存在。
    也可以去该建站厂商的官网查看建站案例,通用漏洞搜集相关的站点比较繁杂,不是所有相同建站站点都存在相同漏洞。
    5.png
    四、漏洞利用
    源码备份还是有挺多可以利用的点,简单讲一下漏洞利用的思路。
    将网站备份文件admin.zip下载下来之后,我们可以去查看该压缩包的数据信息
    6.png
    在这里我们可以做一点代码审计,已经敏感文件的获取
    7.png
    网页的配置信息泄露、数据库data信息泄露
    8.png
    9.png
    审计敏感文件,发现数据库配置信息,数据库账号密码泄露User Id=xxassword=xxx
    如果没做host限制,攻击者可以尝试登录!
    10.png
    管理员登录界面泄露http://www.xxx.com/xxx.html
    可以看到该登录框不需要二次验证也没有错误限制此数!攻击者可以尝试暴力破解,如果在实战中可以为下一步渗透作准备。
    11.png
    通过代码审计找到了后台目录下的界面,发现存在越权访问,可以在不登录管理员的情况下使用管理员权限。效果如下
    12.png
    越权访问管理员界面---访问网页日志
    管理员手机号和邮箱信息泄露,以及管理任务泄露,可以新增任务,攻击者可以增加服务器挖矿任务,消耗服务器资源来获取利益。
    13.png
    由于本人能力有限,对于网站源码的利用还不是很到位,在这里分享一下挖掘通用漏洞的一个思路,各位师傅可以提自己的建议哈!
    五、后记
    搜集10起相同案例的站点,然后整合成一份文档即可提交cnvd漏洞平台,然后就是等待漏洞审核归档了,再次谢谢各位师傅观看!
    15.png
    14.png

    1.png
    剑未佩妥出门已是江湖
    感谢表哥分享~
    使用道具 举报 回复
    感谢大佬分享
    使用道具 举报 回复
    膜拜师傅
    使用道具 举报 回复
    发表于 2021-3-10 23:45:46

    感谢大佬分享
    使用道具 举报 回复
    大表哥牛逼
    使用道具 举报 回复
    发表于 2021-3-11 20:15:18
    牛逼啊,大师傅
    使用道具 举报 回复
    发表于 2021-3-30 20:49:58
    不是要5000w资产了吗
    使用道具 举报 回复
    发表于 2021-3-30 22:45:07
    icqad24e235 发表于 2021-3-30 20:49
    不是要5000w资产了吗

    师傅看收录日期,那时候似乎还没有要求
    剑未佩妥出门已是江湖
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册