對某網的一次滲透測試紀實

0x01 前言

最近兩個月學著去挖洞，混了快2個月的補天，還是有挺多收獲的。這里記錄一個昨天對某人才網的滲透測試，從邏輯越權，xss，弱口令等到getshell，控制數據庫.....

新人第一次寫稿，有不足的地方懇請師傅們指出，目標站點我就以www.xxx.com代替

0x02 邏輯越權

這個人才網有個人用戶和企業用戶，企業用戶注冊需要提供營業執照等等。然后只有企業用戶才能下載人才簡歷，查看各個求職者的詳細信息，比如身份證號碼，聯系方式等等。

我們先注冊一個個人用戶，然后登陸。可以看到下面有個"最新人才"的欄目

點更多，我們可以看到有大約有3w多簡歷

我們先隨便點一個人的簡歷

可以看到當我們是個人用戶時已經可以看見這個求職者的很多信息了，但是身份證信息和聯系方式作為個人用戶是看不見的

然后我們嘗試點一下下載簡歷

果然只有企業用戶才能下載。這時候我想起了在各大平臺看見的邏輯漏洞的總結，于是嘗試用burp抓包來看看有沒有可能越權成為企業用戶，我們對下載簡歷抓包

我們可以看到那個eid是我們查看的這個簡歷的id，然后在cookie里有個usertype和uid，個人用戶的usertype是1，于是我們嘗試改成2，然后這里必須uid也得改成隨便一個企業的uid，因為這里usertype是判斷用戶賬號是個人用戶還是企業用戶，然后這個uid是判斷有沒有下載權限。

我們在首頁隨便找一個企業

然后發包

然后這里就已經越權成為企業用戶了，可以查看到用戶聯系方式了，然后我們再對這個圖上那個下載簡歷抓包，同樣修改usertype和uid，然后再發包。

然后到這里，不要以為失敗了，我們還是得對這個頁面抓包，繼續改usertype和uid，然后再次發包就可以下載了。

word文檔的簡歷內容很長，就截了前面部分，可以看到這里就可以看見完整的身份證號碼信息。

Ps：這里在改完uid后，提示說金幣不夠什么的，就換一個企業的uid試試就好了，因為這里下載簡歷是要消耗那個企業的金幣的，沒有金幣就得充錢。

0x03 XSS

我們個人用戶登陸后會讓我們完善簡歷，在簡歷填寫的多處存在儲存型XSS，這里拿自我評價處做例子（畢竟企業看人才簡歷時可以看到自我評價）

這里我們可以利用xss來獲取那些企業用戶的cookie，且看cookie，并沒有httponly的設置，所以可以直接登陸任意查看過這個簡歷的企業用戶。

0x04 SQL注入1

通過子域名收集，可以得到oa辦公系統地址：oa.xxx.com

然后我們先隨便試試輸入賬號密碼，比如admin/admin

提示密碼無效，然后admins/admin

這樣子就有可能是SQL盲注，于是進一步驗證，用admin' and '1'='1 和admin' and '1'='2 來驗證。

于是驗證了這里存在SQL盲注，然后寫腳本可以跑出數據庫名

然后在打算跑表時

猜測肯定是select的原因，把select去掉

果然是select的原因，然后我嘗試了用內聯注釋，編碼等都沒有成功繞過.....可能姿勢太少了吧。但是這個報錯讓我知道了完整的sql語句于是想到了用萬能密碼。

根據sql注入語句構造：用戶名用admin' or 1=1 or ''='密碼隨便填，然后就進去了.....

0x05 SQL注入2

這里還有一處SQL注入，不過有點雞肋的，就是和sql注入1一樣的就是select....被waf了。

注入的地方在搜索框，是一個搜索型SQL注入，通常搜索型SQL注入的SQL語句都是：

select * from users where id like '%xxx%' order by xxxxxxxxx";

所以我們就可以構造閉合導致SQL注入，我們可以用 1%' and 1=1 and '%'=' 和 %' and 1=2 and '%'=' 來驗證是否存在搜索型注入。

這樣就可以驗證存在SQL注入了。同樣這里只能跑出數據庫名....因為select被waf了，我暫時還沒姿勢繞過。

0x06 任意文件上傳

在前面萬能密碼進入oa后臺后，我嘗試getshell，于是瀏覽了一遍后臺的功能，發現了在用戶管理處可以利用。

隨便點一個人修改

修改頭像這里，抓包改成php。上傳木馬成功。(這里肯定只在前端驗證我們上傳的文件類型，導致繞過)

然后我們用蟻劍連接

成功getshell，可以下載整個代碼包

然后我們可以找到數據庫配置文件

然后用蟻劍自帶的數據庫管理系統連上

然后就可以任意操縱數據庫了，然后我們可以看到網站后臺的賬號密碼.....發現密碼是個與網站域名有關的弱密碼：xxx2017，然后就可以進入管理后臺（都getshell了其實沒必要再看這個了，哈哈哈，不過可以當成一個弱密碼漏洞）

0x07 總結

這個人才網可以說是漏洞百出，把好多學到的姿勢充分的實現了。由于還沒接觸過內網方面的經歷，所以并沒有對其進行下一步的測試，找個時間學習一波內網方面的知識，然后我覺的這個站可能依然是一個可以把理論付諸實踐的站點（滑稽）。

前一年都在打ctf，從最近開始挖洞，挖洞的感受就是挖洞一時爽，一直挖一直爽。從最近的挖洞經歷，學會了很多，學到最多的就是邏輯漏洞的姿勢，比如越權，短信轟炸，任意用戶注冊，任意用戶密碼修改，各種驗證碼處理不當，商城商品提交訂單時，數量、金額、運費、優惠價格等參數沒有做嚴格限制和驗證導致0元購等等。

希望接下來自己能夠轉向各大SRC的漏洞挖掘，畢竟非授權的站點測試還是很有風險的（~逃）