问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
众测环境下被忽视的“水洞”攻击面
渗透测试
分享几个在众测中遇到过的"水洞"案例,本身众测开放时间就短并且要和大量师傅一同开始竞争,所以摸索出了一些简单的漏洞案例,忽略的功能点,隐藏的资产面,但是具体通过标准也是由厂商定夺,"水洞"危害字如其名,赏金也是符合"水"的标准50-300区间
> 分享几个在众测中遇到过的"水洞"案例,本身众测开放时间就短并且要和大量师傅一同开始竞争,所以摸索出了一些简单的漏洞案例,忽略的功能点,隐藏的资产面,但是具体通过标准也是由厂商定夺,"水洞"危害字如其名,赏金也是符合"水"的标准50-300区间  #### 转载 欢迎转载文章提供给安全圈其他师傅学习,但请标明社区原文地址,尊重社区内原创作者劳动成果,个人公众号:月的造梦星球, 欢迎讨论学习,共同进步。 #### CSV注入 此漏洞大多数`SRC`不会收取,因为危害大小完全是人为控制的,导出的`xls`没有被触发那么就一定没有效果,只能做到钓鱼的效果,但学习一下不是坏事,在不限制漏洞类型的众测中还是可以捡到钱的大部分人忽略了这个问题,相关原理可以看以下师傅的文章。这里说案例过程,如本地复现需要在`office`设置 <https://xz.aliyun.com/news/11718> [CSV注入漏洞原理及利用教程](https://blog.csdn.net/weixin_41924764/article/details/108665746) ```php 文件->选项->信任中心->信任中心设置->外部内容 ```  漏洞完成需要必备两个条件,1是支持输入文本信息,2是支持将输入的文本信息以表格的形式导出,一般存在于信息统计,或者日志导出等地方,在文本信息处输入`payload`  ```php =1+cmd|'/C calc'!A0 ```  `payload`无过滤直接插入表格,如果存在过滤可以利用运算符`+-` 或者分号等进行绕过,具体可以看看其他师傅总结的绕过技巧文章,此处是无任何过滤的,那么直接进行**导出报表**   导出后打开方式选择微软的`excel`打开,当在`excel`中打开`csv`文件时,文件会转换为`excel`格式并提供`excel`公式的执行功能,会造成命令执行问题。攻防钓鱼中也是一个不错的选择,因为在较老的版本如`Office 2016 MSO(16.0.4266.1001)`无该开关选项,那么默认就是开启; 因此无法禁止执行外部程序,只要恶意文件打开就会调用,执行反弹`shell`   #### 意见反馈越权 挖掘业务只要可以突破常规均是有效的,小程序我也是比较喜欢看反馈这种地方,大概率不起眼的功能点更容易出现越权,并且反馈常常会和文件上传挂钩,捡一波越权+文件上传`XSS`亦或者存储桶相关漏洞,也是美滋滋   下面功能点就是最好的情况,并且可以发现手机号是固定的无法修改其他号码;那么在业务逻辑的角度讲,反馈要实名到个人,不能是恶意反馈,假如说我们可以在`BP`替换信息为他人的电话号码,就可以以他人身份进行反馈了,但是这种方法只限于功能点原本是固定的情况,如果功能点本身就可以替换姓名号码,那么我们再改也没有意义; 报告未留存完整漏洞也已修复,这里就不贴数据包效果了,各位师傅明白意思就行   #### 递归Fuzz未授权 开局登录框,虽然不是`Vue`框架但仍会看看插件有无泄露接口,只出现了一个接口 ```php /sap/bc/ui2/flp ```  测试完整访问会重定向会首页,`BP`也没有发多余的数据包,逐层删除也均是`404` ,进而去挖掘前台功能点也是一无所获,随后又回到泄露的唯一接口开始进行递归`Fuzz`目录看是否可以探测到隐藏目录服务  ```php https://xxxxx/sap/bc/ui2/flp ```  因为前台已经拿到了第一层接口`sap` 通常我会先在有效基础上进行爆破,在拼接上`admin` 后也是`302`来到了新的完整接口`default.html` 默认,并且需要登录 ```php https://xxxxx/sap/admin/public/default.html ```   后续我继续尝试在二层目录`admin`基础上继续爆破`Fuzz`并无有效反馈   三层目录是`public`但感觉不太可能会有东西了,把目标转向`default.html`页面去进攻,在`BP`固定`default`值为`payload`点,这种地方还上目录字典没啥意义,因为四层目录很明显就是通过`html`渲染显示,只能尝试`Fuzz`出更多的 `*.html`文件,随即掏出参数字典  长达二分半下爆破结束,排序一下数据包,一一访问最终也是在根目录下发现`index.html`可以被未授权访问  ```php https://xxxxx/sap/admin/public/header.html -----> 鉴权登录 https://xxxxx/sap/admin/public/index.html -------> 未授权访问 ```  对比可以看到`inde.html`无需认证即可访问操作,此漏洞引出了字典的重要性以及`Fuzz`这一操作,哪怕我从根目录开始`Fuzz`只要字典内有`SAP`目录那么我也可以顺利挖掘到这个漏洞,实战中可以多多收集形成自己的实战字典。    #### 并发业务量 点赞、分享、转发等业务如果存在具体的数值,那么可以尝试多次点赞、分享、转发,影响对应帖子文章等舆论导向,这类业务在`APP`,`Web`、小程序屡见不鲜毕竟大家都更认可点赞转发量更高的文章;从众心理会觉得越多人追捧的文章越权威。  资产收集到一处`APP`帖子分享处,点赞不存在并发,但是分享数量存在,可以多次进行分享数量增加,正常业务逻辑是一个用户只能分享多次,但是数量应该只增加一次才可以  手动分享或者BP多次重发,并发时间均可造成分享数量激增  同样功能点,分享、点赞、收藏存在固定的数量,`yakit`抓取数据包  设置发包值,等同于`BP`并发插件  发送后刷新页面成功并发,毫无难度   锁定一处小程序,发现收藏存在具体的数量,依旧抓取一个数据包,无限发包  简单拿下  #### VUE插件未授权驾驶舱 最近`Vue`前端路由守卫绕过比较火热,基本各种绕过路由守卫插件、`hook`、工具都逐渐被开源公布,之前没有插件之前我也只会手动将接口拼接在`#`后访问,也不太了解路由守卫机制,下载体验了一下`VueCrack`插件;发现此插件有两种页面最容易出现漏洞,第一种是文件上传打存储`XSS`,第二种是大屏驾驶舱页面,利用插件屡试不爽,运行好未授权访问的页面存在可以调用功能点,又可以测试注入信息泄露相关漏洞  [VueCrack介绍文章](https://mp.weixin.qq.com/s/jdg0kKz4gwfZPoVxPgL4IA) [Ad1euDa1e/VueCrack 工具原地址](https://github.com/Ad1euDa1e/VueCrack) 安装插件点一点,未授权到手,感谢师傅的开源精神,各位可以去原地址给这位师傅上上`Star` ,效果就不说了,贴几张在`Vue`框架下利用此插件挖掘到的未授权访问漏洞。     #### 服务号资产 众测大部分是给予多个域名,我们域名找到公司名后可以根据公司名去打公众号或者服务号资产不单单只是小程序,因为很多时候点击这些业务点会跳转到一处新域名,为我们打开了新的攻击面,不要过分相信测绘工具所找到的资产,有时候是不全的  公司名搜索资产找到一处服务号,下方有跳转链接  跳转后来到了此域名接口,这个域名在信息收集时就已经发现,但是跳转的接口确是不同,如果只是访问根路径则是其他的网站首页,那么新的业务就有新的功能点可测了 ```php https://xxx.xxxxx.com/htlcommunity/usercenter ```   最终也是发现了几个越权和最喜欢的文件上传`XSS`,美美结束下班。    #### 结语 分享了一部分遇到的案例报告,技术难度等于0,勤于思考对基础这块多多夯实相信各位师傅也是手拿把掐的,喜欢请点点推荐,秋意渐浓记得一天要喝八杯水
发表于 2025-11-03 09:40:39
阅读 ( 453 )
分类:
渗透测试
3 推荐
收藏
0 条评论
请先
登录
后评论
一天要喝八杯水
大厂螺丝工
8 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!
