问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
某众测黑盒0day挖掘获得奖金上限
渗透测试
黑盒测试多细心观察每一处地方
刚开学没多久在宿舍隔离上网课,无聊看漏洞众测平台发布了新项目(好好学习,好好听课,不要逛SRC) ![attach-14df3f269ab5a1a80e1ec8f1ebc0df71206c3599.jpg](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-1d56a8c7cf34a1d68a2b68f42212fdc5d0349e6a.jpg) 最高奖金一千块。然后成功报名并通过审核占到茅坑(占着茅坑不拉屎) ![image-20221114222234298.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-6f8ef03ffeca15b22eecf6d70c18d4d1cf9701d3.png) 使用奇安信的资产收集平台直接找到用户服务系统。 访问地址:<http://user.xxx.cc/newlogin> ![image-20221114222919191.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-c33548cc11d7b94223145321ef66062cc5d00185.png) 然后拿自己手机号码注册个账号登录进去。因为是众测,贵公司也关了好多功能不给用,所以注册的账号进去只是个空壳,并没有什么功能点。 ![image-20221114223117908.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-7695b6659d8313f9e9fc4aded20f96d4130b83aa.png) 然后点击右上角的应用中心会跳过这个系统进入下一个子站。然后使用F12大法开始审计JS,看看JS文件里有没有开发遗留的账号和链接接口。 最终在一处文件中发现一处接口: [https://xxx.xxx.cn/xxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode](https://xxx.xxx.cn/xxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode)= ![image-20221114223727713.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-533a4af040d4e15cb97e6319a826f63bcbf3c92a.png) 访问接口:[https://xxx.xxx.cn/xxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=](https://xxx.xxx.cn/xxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=) 页面提示无法获取到UserCode参数: ![image-20221114224239357.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-f0c212b2ace42e8cf2df52cd1b42870031f25bef.png) 根据UserCode参数里面的User,猜测是关联用户名,于是加个admin尝试:[https://xxx.xxx.cn/xxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=admin](https://xxx.xxx.cn/xxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=admin) 提示该用户没有关联GS用户,验证了我们的猜测。 ![image-20221114224545387.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-91cdeb6eeb845ed31f96b51b5a05f00bd9858338.png) 然后抓包遍历用户名,发现有几个302重定向跳转了: ![image-20221114224749782.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-d6282c22c97087e1b102cd283f37954490214e58.png) 然后在UserCode参数后面加上遍历出来的用户名。(这里不使用真实用户名) wsh wshwsh wshwshwsh wshwshwshwsh 选取其中一个去访问:[https://xxx.xxx.cn/xxxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=wsh](https://xxx.xxx.cn/xxxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=wsh) 然后302跳转进入到核心系统:<https://xxxxx.xxxx.cn/xxxxx/web/gsprtf/main.aspx>? ![image-20221114225037858.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-ae87bfd34d27789e10f2c68c64bfc60f0d64d713.png) 然后进入应用里面查看,全是合同等敏感数据,还可对其增删改查。 ![image-20221114225554900.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-7939fa2b00f3b572ed0012dffbf63f08ebb89455.png) 看到了我最喜欢的报账功能: ![image-20221114225740678.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-7cceb763917e11468356afe86aa2576d5fe9c88a.png) 里面的功能模块还有很多可以测。但是因为系统比较敏感,就不做多余的测试(其实是奖金池奖金不多了)。然后提交漏洞获取赏金,点到为止。 最后去fofa指纹识别一下,发现是一个通用漏洞(意外收获),但是使用的资产不是特别多: ![image-20221114230629233.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-6984e517d5448a73d755d864d0e5c178ad791e1f.png) 随便找一个站测试: ![image-20221114231317853.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-8b6422800a687a8974567dcef595214b2443b71f.png) 贴上跟前面一个系统一样的接口:[https://xx.xxx.com.cn/xxxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=](https://xx.xxx.com.cn/xxxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=) 得到一样的结果。证明了通用性。 ![image-20221114231411322.png](https://shs3.b.qianxin.com/attack_forum/2022/12/attach-d96dd2878ff333e0dc71f1be67682f580219c34c.png)
发表于 2022-12-15 17:18:15
阅读 ( 17085 )
分类:
渗透测试
26 推荐
收藏
4 条评论
name'
2022-12-30 22:16
已复现,感谢分享。
349223646
回复
name'
师傅不客气!
349223646
回复
name'
不客气!
请先
登录
后评论
cloudcoll
2023-10-25 14:05
从你的文章中我了解到该系统使用UserMap的认证方式进行认证,此方案采用 “外部系统用户与GS用户建立对于关系” 的认证方式,需要提供外部系统用户编号和身份凭据,如果能匹配到CS用户,就认证通过。 但是该系统貌似不需要身份凭据(例如用户名和密码),只需要用户名就可以实现认证,这种设计使得攻击者只需要知道有效的用户名,即可绕过密码验证,直接访问GS系统。这将导致以下潜在问题: 用户名枚举:攻击者可以通过遍历用户名的方式,逐个尝试登录,从而获得有效账户的列表。这为其他恶意攻击提供了有价值的信息,例如用于进行密码猜测或其他针对特定用户的攻击。 未经授权访问:任何知道有效用户名的人都可以访问GS系统,无需提供正确的密码。这将导致未经授权的用户获取到敏感数据、执行非法操作或滥用系统权限的风险。 为了解决这个问题,强烈建议在系统中引入密码认证机制,并要求用户提供有效的用户名和相应的密码。这样可以确保只有经过验证的用户才能访问GS系统,并增加系统的安全性。 同时,建议联系浪潮公司或相关供应商,向他们报告这个安全问题,并寻求他们的建议和支持来修复或升级系统,以加强用户认证和保护系统免受未经授权的访问。
请先
登录
后评论
请先
登录
后评论
349223646
我是废物
1 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!