现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
前言
这是一个完全的黑盒测试,客户没有提供任何信息,我们唯一知道的是,我们被允许测试 redacted.com 和子域名 my.redacted.com
我将跳过整个被动信息收集过程,直奔主题。
正文
因此,我开始使用 gobuster 进行目录爆破,很快就看到一个返回 403 - 禁止访问响应的管理面板。
看到这一点,我们访问了该网站以验证它确实是 403 ,并使用 Burp Suite 捕获请求以进行潜在的绕过。
在我看来,我认为不可能绕过这一点,因为内部IP地址有一个ACL。尽管如此,我还是尝试了以下方法来绕过403:
HTTP方法模糊测试(GET,POST,TRACE,HEAD等)
长话短说,这些方法都没有奏效。所以,我记得有时安全控制是围绕请求中组件的字面拼写和大小写构建的。因此,我尝试了 "大小写转换" 技术——可能听起来很愚蠢,但它确实有效!
测试结果:
将任何字母切换为大写字母,将绕过限制。瞧!我们得到一个登录页面到管理面板。
我们很幸运,但是,我们现在能够尝试不同的攻击(密码喷涂,暴力破解等)。我们正在测试的公司规模不小,我们已经从泄露的数据库中收集了相当多的员工凭据(泄漏检查、泄漏窥视等)。
但是,这是管理面板,因此我们使用通常的测试:
简而言之,这两个都没有。我们无法枚举用户名,但是没有任何类型的速率限制。考虑到上述情况,我们加载rockyou.txt并开始暴力破解“admin”帐户的密码。
经过几千次尝试,我们看到以下内容:
我们找到了admin帐户的有效凭据。进入到网站的管理面板,进行身份验证,然后就登录进来了!
我们进入了管理面板,现在需要做或可以做的不多(未经客户同意)。具有管理权限的管理面板允许您更改整个网站配置,控制网站的页面,真正控制一切。因此,我决定编写一个Python脚本,该脚本可以抓取整个用户数据库(大约39300条),其中包含他们的姓名,电子邮件,电话和地址。收集所有这些详细信息的想法是将它们呈现给客户(受害者) - 以展示被攻击漏洞的严重性。
此外,由于这些安全漏洞的严重性,我们在同一天为这些特定问题编写了一份报告,这些问题会在24小时内得到修复。
总的来说,在整个利用过程中并没有什么太难的地方,但是不寻常的 403 绕过是我第一次见到的东西,我认为你们中的一些人可能会利用它或将其添加到未来的 403 绕过清单中。
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
信 安 考 证
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001... |
推 荐 阅 读
文章引用微信公众号"潇湘信安",如有侵权,请联系管理员删除!
