前言
简历需要有几个漏洞支撑,准备多写几个和挖洞有关的文章,边学边记录
src挖洞本质
证明服务器、网站是不安全的。
三个角度:权限、数据、破坏
EDU信息收集
edu难在无法进入后台,通过谷歌语法搜索,通过抖音,小红书等社交平台查看是否有学生证
社工库
fofa语句
|
|
icp备案
通过网址获取icp备案号
然后通过专门的icp检索
这其中就有71条独立ip,独立ip又可以单独做资产收集
此外,icon的哈希值也可以作为拓宽信息收集面的方式
发散思维,ip的c段、body=“江西师范”、等等都有可能拓宽攻击面
JS可能存在高危接口
关于edu定位脆弱资产
微信小程序渗透思路
appsecret和appid同时泄露导致小程序权限接管
若同时泄露appsecret和appid,则可以通过这俩生成access_token,就可以获取管理员权限(每天只能生成2000个access_token,也算是一种危害)
可以关注小程序漏洞的返回包,看看是否存在appsecret和appid
sessionkey泄露导致任意登录
(一个对称加密)
微信快捷登录抓包,获取sessionkey修改数据包,改电话号码导致任意登录
若抓包被加密了,可以抓返回包,若有phoneNumber和purePhoneNumber可以一起修改,导致任意登录
抓返回包有奇效
抓返回包修改验证码校验结果
手机号验证码登录,抓返回包,将fail改为success,即可造成任意登录
web/小程序,验证码双发
逗号拼接手机号,在受害者手机号后面,加上自己的手机号,导致我们手机上也能收到验证码,这样的话就可以任意账号登录了(现在少了,后端都有校验)
?phone=180xxxxxxxxx,192xxxxxxxxx
?phone=180xxxxxxxxx&phone=192xxxxxxxxx
{“phone”:“18888888,16666666”}
{“phone”:“18888888”,“phone”:“16666666”}
同适用于邮箱
四位数验证码爆破
没有错误次数验证的话就可以进行这个爆破
记得设置min integer digits=4
因为需要保证验证码是0001这种形式
替换返回凭证导致任意登录
自己手机号验证登录后获取了一个登录凭证,然后丢包,换其他手机号再抓包,替换登录凭证后放包发生任意登录
小程序打web后台
有些小程序登录的url是可以从 浏览器进入(也可以尝试改UA)
商城管理平台等等,扫描目录可以扫描出admin登录平台的
抓包拿到登录凭证通杀
小程序Openid攻击
类似越权
登录框漏洞总结
一、漏洞挖掘 00:06
1. 核心思路 00:31
1. 挖洞思路的两种类型 00:39
-
随机测试型
:
- 方法: 随意打开站点,通过数据包分析寻找异常点
- 特点: 依赖运气,缺乏系统性(例:发现页面异常才深入测试)
-
目标导向型
:
- 方法: 针对特定漏洞类型进行专项测试
- 局限: 测试范围狭窄,可能错过其他漏洞类型(例:只测SQL注入时可能忽略XSS)
1. 新思路的提出 02:11
-
三大核心关键词
:
- 权限: 包括服务器权限、后台权限等(例:通过SQL注入获取管理员权限)
- 数据: 获取不应访问的信息(例:越权查看用户数据)
- 破坏: 影响业务正常运行(例:DoS攻击使服务不可用)
-
应用原则
:
- 不是机械套用,而是结合业务场景灵活运用
- 需同时考虑传统漏洞(如XSS)和业务逻辑漏洞
1. 漏洞挖掘方法论 10:06
-
实施步骤
:
- 筛选高价值漏洞目标
- 按漏洞效果分类测试
- 头脑风暴多途径攻击方案
-
系统模块划分
:
- 身份认证(例:登录绕过)
- 会话管理(例:Token劫持)
- 访问控制(例:垂直越权)
- 业务逻辑(例:订单金额篡改)
1)身份认证突破
1)SQL注入绕过
-
原理
:
- 构造永真条件(例:admin’ OR 1=1–)
- 原始SQL:SELECT * FROM users WHERE username=’[input]’ AND password=’[input]'
-
测试方法
:
- 输入常规凭证观察错误提示
- 尝试注入payload(例:admin’–)
- 验证双引号与单引号处理差异
1)弱口令利用
-
风险场景
:
- 默认凭证(例:admin/admin)
- 简单数字组合(例:123456)
-
防御建议
:
- 实施登录尝试限制
- 强制密码复杂度策略
1)验证码绕过
-
常见缺陷
:
- 前端校验可绕过(例:修改响应包)
- 验证码重复使用(例:不刷新session)
- 逻辑缺陷(例:跳过验证步骤)
2)实战注意事项
-
法律边界
:
- 禁止实际破坏操作(例:真实DoS攻击)
- 敏感漏洞需通过SRC平台提交
-
测试规范
:
- 选择非高峰时段测试
- 提前报备高风险测试项
- 使用测试账户而非真实数据
2. 细化核心思路到具体场景应用 17:18
1)身份认证 22:29
-
乐山职业技术学院网站漏洞分析
23:23
- 后台登录页面分析
- 验证码机制:验证码可以复用,不是即用即删除机制
- 前端提示:存在用户名枚举漏洞,会返回"用户名不存在"等提示信息
- 爆破可行性:验证码不刷新时可进行爆破尝试
- 漏洞利用过程
- 验证码复用验证
- 测试方法:多次使用相同验证码提交请求
- 观察点:验证码不正确提示仅出现一次,后续返回密码错误提示
- 结论:验证码未被立即失效,存在复用可能
- 用户名枚举
- 方法:使用Burp Intruder模块进行用户名爆破
- 有效载荷:1-3位字母组合(如a-z,aa-zz,aaa-zzz)
- 结果判断:通过"用户名不存在"和"密码错误"响应区分有效用户
- 密码爆破
- 目标账号:枚举得到的有效用户名(如cl)
- 字典选择:top100弱口令、常见密码组合
- 速率控制:建议设置线程数为25,重试间隔2000ms
- 验证码复用验证
- 安全防护建议
- 验证码改进:应采用即用即失效机制
- 错误提示:统一返回"用户名或密码错误"
- 登录限制:增加失败次数限制和IP封禁机制
- 日志监控:对爆破行为进行实时监测和告警
- 注意事项
- 合法性:eduSRC测试需遵守平台规则
- 影响控制:避免导致服务不可用
- 数据保护:严禁删库、拖库等破坏性操作
- 痕迹管理:爆破行为会被服务器日志记录
- 后台登录页面分析
-
例题:南开大学网站未授权访问
39:38
-
-
未授权访问测试方法
-
测试目的: 获取合法用户权限,突破系统身份认证机制
-
测试思路
:
- 通过目录扫描寻找未授权访问接口
- 尝试参数fuzz测试可能存在的漏洞点
- 观察302重定向等异常响应行为
- 寻找前端处理逻辑与后端验证的差异点
-
-
常见绕过技术
- 万能密码测试: 如尝试SQL注入式万能密码(admin’ or ‘1’=‘1)
- 弱口令爆破: 使用常见弱密码组合(123456/admin等)进行尝试
- 验证码绕过: 观察验证码是否可重复使用或存在逻辑缺陷
- 302重定向利用: 某些系统通过302跳转实现权限验证,可能存在绕过空间
-
测试技巧
-
参数fuzz技巧: 对gotopage等关键参数进行变异测试
-
目录扫描重点: 特别关注/include/、/dede/等常见后台目录
-
- 响应分析
-
注意区分前端处理和后端验证的响应差异
- 不是所有系统都返回JSON格式响应
- 部分系统采用直接跳转而非前端交互
-
-
信息收集方法
- Google Hacking: 使用site:edu.cn intext:登录等语法搜索后台
- Github信息泄露: 搜索可能泄露的源码、配置文件
- 默认凭证尝试: 如学工号+证件号后6位的常见组合
- 密码策略分析: 注意系统要求的密码复杂度(如必须包含大小写等)
-
漏洞挖掘框架
41:15
-
四大测试模块
:
- 身份认证(登录/注册/找回密码)
- 会话管理(Token/Cookie处理)
- 访问控制(权限校验机制)
- 业务逻辑(特定功能流程)
-
认证突破方法
:
- SQL注入万能账号
- 弱口令爆破
- 验证码绕过
- OAuth账户接管
- 前端信息泄露利用
-
-
-
信息安全漏洞挖掘技术
-
资产识别方法
- 域名收集: 通过site:edu.cn语法在搜索引擎中定位目标学校域名
- 资产灯塔系统: 用于扫描和识别网络资产,IP范围182.92.212.95:5003
- 信息泄露风险: 百度未授权访问案例(https://bsrc.baidu.com)展示常见漏洞入口
-
渗透测试流程
-
认证绕过: 使用intext:登录/intext:后台管理等语法查找管理界面
-
会话劫持: 通过预测会话令牌实现用户伪造(如中国人民大学案例)
-
典型漏洞
:
- 统一身份认证系统弱密码(初始密码与学号相同)
- 验证码可绕过漏洞
- OAuth账户接管风险
-
-
教育系统专项漏洞
-
-
漏洞等级分类
:
- 高危漏洞:安徽大学、山东青年政治学院
- 中危漏洞:合肥168中学、宁德师范学院
- 低危漏洞:海南热带海洋学院
-
漏洞奖励机制
:
- 京东卡¥200/¥100
- 漏洞报送证书(如复旦大学证书模板)
-
-
-
实战案例分析
-
东华理工大学渗透测试
-
信息收集
:
- 主域名:ecut.edu.cn
- 子域名:webvpn.ecut.edu.cn, jwc.ecut.edu.cn
- 统一身份认证系统:https://ehall.ecut.edu.cn
-
攻击路径
:
- 通过site:ecut.edu.cn发现WebVPN入口
- 利用默认凭证(admin/admin)尝试登录
- 会话固定攻击获取管理员权限
-
-
中国人民大学信息泄露事件
-
-
事件概况
:
- 涉及2014-2020级全体学生数据
- 包含姓名、照片、学号、星座等敏感信息
- 被用于构建颜值打分系统
-
技术要点
:
- 数据爬取技术
- 前端信息泄露风险
- 权限管理缺陷
-
-
-
防御措施与建议
-
安全配置
:
- 强制修改默认密码(如东华理工大学要求包含大小写、数字、符号)
- 实施多因素认证(手机绑定)
- 定期轮换会话令牌
-
安全开发
:
- 输入验证防止XSS攻击
- 权限最小化原则
- 敏感数据加密存储
-
-
法律与伦理
45:45
-
法律风险
:
- 《网络安全法》相关规定
- 非法获取计算机信息系统数据罪
- 典型案例:腾讯员工信息泄露事件
-
伦理准则
:
- 负责任的漏洞披露
- 禁止恶意利用漏洞
- 保护用户隐私数据
-
二、敏感信息泄露 45:32
1. Google Hack技术
-
-
基本语法
:
- site:域名:指定搜索范围
- intext:关键词:搜索正文含关键词的网页
- intitle:关键词:搜索标题含关键词的网页
- filetype:文件类型:搜索特定文件类型
-
实战应用
:
- 搜索默认密码:如site:edu.cn intext:“默认密码”
- 查找敏感文件:filetype:pdf intext:“机密”
2. Github信息泄露
-
-
搜索语法
:
- “@公司域名.com” in:description:查找公司邮箱
- password OR passwd in:file:查找含密码的文件
-
防护措施
:
- 定期检查代码仓库
- 使用.gitignore文件
- 及时删除敏感信息
3. 前端信息泄露
-
常见泄露点
:
- 开发者工具中的调试信息
- 页面源代码中的注释
- JavaScript文件中的敏感逻辑
-
检查方法
:
- 使用F12开发者工具
- 搜索关键词如"admin"、“password”
- 查看网络请求响应
三、认证绕过技术
1. 验证码绕过
-
常见漏洞
:
- 验证码可重复使用
- 验证码在前端生成
- 验证码可被暴力破解
-
测试方法
:
- 拦截修改验证码请求
- 尝试使用固定验证码
- 检查验证码时效性
2. 默认凭证利用
-
-
典型场景
:
- 学工系统:学号+身份证后6位
- 设备管理:admin/admin
-
利用方法
:
- 收集目标系统的默认密码规则
- 使用字典进行批量尝试
- 结合其他信息(如学号)生成凭证
四、请求交互漏洞
1. 前端欺骗
-
实现方式
:
- 修改响应中的状态码
- 篡改成功/失败标识
- 绕过前端验证逻辑
-
典型案例
:
- 将"success":false改为true
- 修改权限标识字段
- 绕过支付验证步骤
2. 敏感信息泄露
-
常见泄露点
:
- 响应头中的服务器信息
- 错误信息中的路径泄露
- 调试信息中的敏感数据
-
防护建议
:
- 规范化错误处理
- 过滤敏感信息
- 关闭调试模式
五、知识小结
| 知识点 | 核心内容 | 考试重点/易混淆点 | 难度系数 |
|---|---|---|---|
| 漏洞挖掘核心思路 | 围绕权限、数据、破坏三个关键词展开漏洞挖掘,证明系统不安全 | 区分三种关键词的具体应用场景(权限获取/数据泄露/业务破坏) | ⭐⭐⭐⭐ |
| 身份认证突破 | 通过登录框测试获取合法用户权限(用户名枚举/验证码绕过/爆破) | 验证码复用原理与检测方法、多余提示信息的利用 | ⭐⭐⭐ |
| 拒绝服务漏洞 | 通过客户端/服务端攻击影响业务正常运行(如图片DoS) | 边界控制(避免真实破坏)、高风险漏洞报告方式 | ⭐⭐⭐⭐⭐ |
| 敏感信息收集 | Google Hacking语法/GitHub信息泄露/前端调试器搜索 | 默认密码规则收集、会话令牌猜测导致任意用户伪造 | ⭐⭐ |
| 前端欺骗技术 | 修改响应包参数(如false→true)绕过验证 | 需配合重定向分析、非标准状态码识别 | ⭐⭐⭐ |
| 业务逻辑漏洞 | 通过异常参数干扰业务流程(如批量禁用用户账号) | 破坏性测试的法律风险规避 | ⭐⭐⭐⭐ |
| 实战方法论 | 从四大模块切入(身份认证/会话管理/访问控制/业务逻辑) | 用户名枚举后优先爆破非admin账户 | ⭐⭐⭐ |
| SRC报告策略 | 高风险漏洞需夜间测试或提交思路让审核人员验证 | 拒绝服务漏洞的并发量控制技巧 | ⭐⭐⭐⭐ |