每天分享更多黑客技能,工具及体系化视频教程(免费领)
来源:HACK学习呀
一贯找不到目标站点,昨天下午收到的一条微信之后溘然有了目标
(图片来自网络侵删)还是老例子 下载了APP 这里提示下把稳事变
由于这种APP是自动采取微信账号登录 且苹果手机登录前须要申请数据网络权限
以是在进行抓包前 ,须要先点开APP给予数据网络权限并提前登录微信账号(设置代理之后无法登录微信
进入APP后、 首先对APP内部通过http要求获取或得到数据的接口进行了测试, 也测试得到APP走http要求的IP为 ,阿里云做事器IP地址
把稳事变 碰到阿里云做事器(不要进行端口扫描,不要进行网页路径探测)
由于这两点都会让阿里云封你的IP 首先对反馈接口进行了抓包 丢入了XSS
丢入xss 之后 考虑到这个APP并没有什么可以入手的点
(本人比较菜,没办法在这上面找到打破口)
于是把稳到这个APP有挂载的官网,果断从官网开始入手
首先找到了部分代理登录的后台,进入了登录界面,由于有两个登录界面 一个是http 并且无验证码
一个是https 有验证码 首先从http无验证码口开始爆破密码
https://jingyan.baidu.com/article/200957619c8739cb0721b4ff.htmlBurp爆破网站后台账号密码步骤
成功的登录了后台,创造后台并没有什么其他功能 只是能查看个人的代理及充值返利情形
在未找到直接能getshell的点, 首先对网站后台进行了抓包, 查看后台中部分搜索功能是否存在SQL注入,其次查看后台是否存在逻辑漏
可以确定的点如下(网站后台未存在有SQL注入,数据库不进行报错,对网站进行扫描并未封IPIP地址为武汉,极有可能是源IP地址,接着连续探求网站的逻辑漏洞
当咱们对myuser.php 进行访问时 做事器缓存的cookie 信息为以上图片内aliyungf_tc 为无效数据 可忽略不打算user_name 为账号信息 user_id为做事器uid值 user_level为用户等级考试测验修正账号信息为123456789 数据并未发生改变考试测验修正uid值 数据发生改变考试测验修正用户等级 未发生改变于是得到uid 值为判断用户的标准
接下来 就找我亲爱的丁哥写了套爬虫 (用户uid值为循环上升,爬取页面内容 得到网站总用户量为1万五千人)
之前咱们提到还有一个https的后台有验证码机制
有验证码机制进行爆破成功率可能并不是很高 考试测验进行找回密码功能
修正uid值为空试试
点击确认提交 直接来到了修正密码的页面https://qy.xxxxxxx.com/user_goback_password.php?uid=再进行uid补全为test用户uid=11000 输入变动的新密码 变动成功
成功进入后台 截止到目前为止
(拿到了网站全部用户的个人信息,拿到了充值游戏币的权限)
顺便阐明下为什么能变动成功test用户的密码
当user_goback_quan.php?uid=11000 修正为uid=空时
数据库查询不到用户 那么对应的答案也是查询不到 为空的
变动密码在数据库判断中 问题=答案(精确) ----- 变动成功
当问题不存在 答案不存在的情形下 问题=答案 跳转到变动密码界面 — 变动uid值为test用户uid ===== 成功变动test用户密码
