声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,TG说安全运营组及文章作者不为此承担任何责任。
某天,想着审计一下java代码,复现一些框架的漏洞,不料,这时候领导派了个任务,让我测试一下公司里面的IDC 系统,一听到这消息,打开burp,开始测试了,哈哈哈,大佬勿喷
我是专业安服5年划水专门糊弄工作,漏洞没进一步利用,哈哈,当然我知道你们喜欢这样的,文章后面给大家附了安服划水专用工具,狗头保命qaq
正文
1、逻辑漏洞
1.1 用户名枚举,可以直接爆破用户名存不存在了
1.2 碰巧遇到了,验证码复用,配合第一个枚举,直接可以爆破,测试一波
2、文件上传漏洞
这里上传文件,直接把要上传的文件名字后缀名改成 php,
ok,上传成功,bingo
3、JWT 弱口令
JWT是 json web token,使用它来进行认证
工具:https://github.com/ticarpi/jwt_tool
这边找到了 key, 下面就好说了
4、SSRF(服务端请求伪造)
我在通告里面看到了一个,添加视频的地址,赶紧测试了一波,然后输入网址,来了,内网探测,嗯!(图片丢了, 用表情代替一下)
5、DELETE 请求
使用DELETE请求方法,执行敏感操作,删除了任意一个
6、上传目录可控
刚要写报告来糊弄公司,返回文件上传的数据包发现有点问题,来测试一下可进行目录位置修改,导致上传至其他目录,又找到一个,应该可以交差了吧,今天的任务又糊弄过去了......
总结
1、使用随机数改写文件名和文件路径,使得用户不能轻易访问自己上传的文件;
2、JWT建议使用长度至少为32字节的随机生成值,确保使用一个强大的、不可预测的秘密来计算服务器上的HMAC签名
3、设置URL白名单或者限制内网IP地址,禁止跳转
4、判断提交的验证码与服务器上存储的是否一致
5、禁用不必要的HTTP方法
6、将用户允许上传的目录进行限制,不允许跨目录上传
专业安服划水报告文档
附带自动检测工具
划水工具以及漏洞模板(应付工作专用) 后台获取回复:安服划水
抽奖继续 后台回复:TG说安全 获取 或 直接点击下发小程序即可
关于抽奖活动声明:(仅限IT行业师傅 活动最终解释权归TG说安全所有)
关注TG说安全+转发本文至任意安全交流群即可参与抽奖!
分组、开奖前删除或开奖后发布无效
开奖后,请中奖的同学将中奖截图+朋友圈转发记录截图发送至公众号后台
(超过48小时未领取视为自动放弃~ )
欢迎加我wx,一起交流交流
湘安无事团队 知识星球 一次付费,永久免费,享受两大内部群+星球双重福利(付费之后会拉入内部成员群,直接免费续上)。有需要的直接添加上面微信 118永久,私我支付,直接拉内部成员群,扫码支付,三天后拉内部成员群。
内部群共享
1.fofa高级会员账号
2.360quake高级会员
3.某在线高级会员靶场账号(附带wp)
4.专属内部漏洞库(持续更新)
5.原创漏洞挖掘报告
6.it课表众多好课(持续更新,内容涉及安全+开发等)
7.在线答疑,不定期直播技术分享【湘南第一深情、wuli、Awake等】
星球介绍:
星球针对安全新人有优秀学习资源,星球专属嘉宾进行问题解答,
性价比很高。
如果你是入门不久,想要提升漏洞挖掘能力,那该星球是个不错的选择,星球内拥有
专属漏洞报告,
各种奇淫技巧、挖洞技术、专属嘉宾在线问答等。
欢迎您的加入,星球部分内容请你查看!!
星球内容介绍
星球内部提供众多好课
安全类:web安全、内网、src挖掘、kail、逆向、游戏漏洞挖掘、免杀等
开发类:python安全开发、java、Golang、php等开发课程
专栏提供内部漏洞库
专栏内容预览
扫码查看更多内容
官方吹水群
好兄弟公众号大家也可以关注下嘿嘿!
文章引用微信公众号"WK安全",如有侵权,请联系管理员删除!
