您的位置 首页 网络安全

看我如何通过黑盒测试日下四个证书站

开局一个登陆框 且测试admin账户弱口令显示如下,拼运气的时候来了,我随手就是一个123456,果然我不是月…

开局一个登陆框

且测试admin账户弱口令显示如下,拼运气的时候来了,我随手就是一个123456,果然我不是月球宝宝。剩余两次机会时,手动放弃。还是别恶意把别人账户封禁了

为了避免重复放包会导致用户禁用,输入一个不存在的用户名,进行抓包测试。随意输入一个不存在的账户,登陆抓包单独拉出来简单测试一下sql 在用户名处加一个单引号。

结果和正常显示差不多,到这里,想了一下,可能后台对用户输入做了一定过滤,或者我的某一步操作不到位,在或者,后台先校验验证码,而验证码在我单独拉出来时,我放包过后就已经刷新(不放包就不会刷新)。本着不到黄河不死心的操作,又开始fuzz一遍。

重新抓取登陆包,并单独拉出来测试。

果然这熟悉的味道,证明之前猜测后台先校验验证码。至此一枚sql到手。

但存在waf,这里sqlmap一跑就被拦,又不想自己构造payload,于是fofq了一波该公司开发的同类型站点,想着找一个没有waf的用sqlmap跑出payload,之后自己构造一下绕过即可。找了几个站,终于找到个没有waf的。跑出了payload。

然后就是各种各种fuzz,网上各种看文章,我才绕过一个同济的。。。。剩下几个浙大的我绕不过。我真是个菜鸡。

又想了一下既然存在sql注入那么就有可能会存在万能密码登录,又是一顿fuzz,想象很美好啊,现实很骨感。gg了

hai到这里,批量跑弱口令会被禁用用户想着还是算了,换证浙大证书有了,准备整理一下站点还是开交吧。

就在我整理的差不多的时候,收集到某一个类似测试站点的时候,习惯性输入admin——123456 ,然后就进去了,对的然后就进去了,搞得我一脸懵逼,难道这就是天选之子。

平稳了一下心情,之前测sql的时候看见登陆返回的是json格式的数据包,且cookie登陆前和登陆后无任何区别。于是继续思考是否可以替换返回的不同json来达到登录的效果。

说干就干。

登陆抓包,复制登陆成功的json。

到同类型站点,输入一个存在的账户,例如admin 登陆抓取返回包

替换json ,放包。也就是那么一瞬间,页面跳转了一下,然后有回到了登陆界面。看来这种方法行不通啊。转头回去研究那个站点了,是否存在未授权。测试功能点时,发现其大部分都通过get传参。

于是学之前一样拼接一下url构造访问,也就是那么一瞬间昂又返回到了登陆界面,无果,还是无果

既然这样行不通,在登录的站点测试功能抓包单独拉出来,删除cookie。访问。哈哈哈哈激动的时候就来了,没有图,都被修了,复现不出来 了,听我口头描述,页面返回和正常返回的内容一致,唯一不同的就是在页面最上面出现了一个跳转至登录界面的js标签。

既然都到这一步来了,就很好办了啊,先在测试站点收集一波功能点的poc,之后更改请求包。

举列

1、越权查看smtp服务器账户密码

涉及机密打码打码打码打码打码打码打码打码打码打码打码,成功使用账户密码登录。

2、查看所有账户

3、越权添加超管。

至此,成功登陆。剩下的就不限详细讲解了。结合之前打包带走。

另外在,绕waf这方面不得不说冰蝎是真的好用啊,冰蝎不行那就脏字符+冰蝎,是真的秒啊。

哪位师傅带带我学代码审计啊,,我哭了啊,黑盒测试好累啊!!,带带我好嘛,求求你们了,带我学java,带我学c#,带带我。

本文来自网络,不代表F12sec立场,转载请注明出处:http://www.0dayhack.net/index.php/756/
AGONI

作者: AGONI

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

CAPTCHAis initialing...
联系我们

联系我们

QQ群:884338047

在线咨询: QQ交谈

邮箱: 2676666667@qq.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部