上官雨寶
逛了一下補天的專屬src,找了看起來好欺負的練練手,提交了三個漏洞,兩個ssrf,一個未授權,結果就通過了一個,果然是好欺負的!!!。
一個ssrf重復,未授權的資產偏了,最戲劇性的是周五的時候目標還沒變,周六就改小了范圍。只通過了一個ssrf,賺了300。挖src挺練心態的,
挖到時候是真開心,忽略的時候,,,,挖src的兄弟應該都懂。
先來說一下通過 的ssrf,目標是這種,這種的話我會burp先不開攔截,之后burp和xray聯動,各個功能點都點一下。
以下就是xray和burp的配置,xray的命令
xray_windows_386.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html
完美
漏洞點是一個播放功能,點擊后會指向另一個網址的MP4地址。數據包如下。
之后
這點是遠遠不夠的,又不知道內網的地址,于是就開始fuzz本地的端口
就到這了,奈何自己太菜,,,,,
接下來說另一個ssrf,這個ssrf是小程序的,這個被忽略了,可惜,這家的中危給的還挺多的。。
很簡單,一個分享功能的ssrf,當時點了一下分享,那個數據包在burp的歷史包里一閃而過,還好看見了,奈何有人也看見了。大家挖洞的時候要注意一下呦。
這是個頁面跳轉的功能,如果后面接的是百度的網址,會顯示百度的頁面,以圖片的形式。
又開始fuzz 127.0.0.1 端口,不知道為啥fuzz端口太慢了。又想到收集子域名的時候用**oneforall**有顯示內網ip的網址,拼接一下試試
成了,這個在外網訪問不到
第三個乃是未授權,webpack的未授權,直接工具掃就完了,有的時候Wappalyzer可能識別不到,我通常瞅著像都會掃一下,比如這種地址https://zlxxx.xxxx.cn/#/login,帶#號的,vue開發的。
工具地址:**Packer-Fuzzer:https://github.com/rtcatc/Packer-Fuzzer**
這個暴露出很多的未授權接口,最重要的是把后端幾個管理員的賬號密碼爆出來了。如下,
這個案例就到這了。
最后
大家可以把掃到的接口收集一下,豐富一下自己的字典,還比如遇到的js文件名稱,都要收集一下。
還有get請求用瀏覽器不回顯內容,必須用burp抓包才可以,這是另一個未授權的案例的坑點,奈何也重復了,這個經驗分享給大家。
挖src能增加實戰,動手能力,還有就是運氣占很多,有的洞也確實靠技術。可以去挖一挖。但還是感覺測試人員到最后拼的代碼能力。不說了,去卷了。
Anna艷娜
Anna艷娜
007bug
007bug
007bug
007bug
FreeBuf
Anna艷娜
Andrew
Andrew
Andrew
Andrew
