这次是我的一个客户,他们公司即将有一个统一身份入口系统年前想上线正式开始使用,所以叫我过去先简单的帮忙看看能不能找出点漏洞。
因为是后续发文,有些截图没了各位谅解一下。
这里我先说一下我前面的思路,我们的目标系统是只有一个页面,就一个登入框,我这里一开始是先试用nmap进行了端口扫描,后面使用了7kb打开的扫描器。其实结果大家可能都知道,啥都没有。
到这里,不要慌,我们看看登入界面有没有找回密码之类的,我们的目标系统是有一个找回密码的。我们接下来测试一番。
验证码是我随便打的,我们使用Bp(Burp Suite)抓他的数据包,看看里面是什么情况,我们这是错误的验证码哦。
第一个数据包,他是把我们填写的验证码先发送给服务端验证,我们放包,看下一个数据包。
返回为0,我们换种思维方式,我们输入错误的验证码,他返回0,如果我们改成1会不会就是验证码正确呢?我们试试。
直接跳过验证码,我们看到来到一个手机验证码页面,手机号码也直接在上面,这里的下一步我就没有做截图了,我可以简单说一下,我在点击获取验证码的时候抓包,能获取到这个手机号码,然后通过bp把接收验证码的手机号改成自己的就能成功下一步,到设置新密码(因为这一步我的文档截图不全望谅解,学习思路就好)。
以为到这里就结束了嘛?不,并没有
在上面修改完验证码返回的状态码以后,我拦截到一个这种数据包。
把这个数据包发送到瑞皮特模式下,重新发送数据包,我们看看又是什么效果呢?
直接获取了该账户的所有信息,我们再换位思考一哈,把这个数据包,发送到爆破模式下,把账户名设置成一个变量,导入一个用户名字典,那是不是就有用户遍历了?直接开搞。
我直接上了30w字典跑(客户给的时间有限就半天),还没跑完,跑出两个账户一个是test、一个是hr。
是不是又以为到这里就结束了呢?不,还没有,我们继续。
我有想到一个,我用目前test、hr账户爆破弱口试试,玩意要是成了呢?直接上Bp
还真爆破出一个test账户,我们登陆看看。
哦豁,进来了,地址是192.168.X.X内网地址,到这里我们就真的结束啦,因为客户没说要继续做下去,我们就不搞啦,其实里面还有好多应用,不出意外应该能拿下。但是,顾客是上帝,我们要尊重客户。
