滲透測試之只有一個登錄框

前言

滲透任務太多了，做不完，根本做不完。今天又給了一個網站，關鍵還說只能測試這個一個網站，其他的不要碰。開始測試。

一個登錄框打開一看，得，就一個登錄框，連個注冊和找回密碼的功能都沒有。測試賬號也不說給一個。

正常走流程就個登錄框，簡單手工試一下payload，嗯，果然。沒有什么問題。不過也測試出這個網站沒有waf防護。

平時如果我們遇到這種情況，可以擴大范圍，找真實IP，通過IP去查看有沒有其他端口服務業務開放，進一步進行滲透。這里指定了只能滲透這一個系統，那就不擴大攻擊面了。

那么剩下得工作就只能掃描一下目錄，瞅瞅前端代碼了。

掛上dirsearch，上大字典掃就完事了，期待來一波api接口泄露，源碼泄露哈哈，然而現實總歸時殘酷的，果然沒掃描到什么有用的東西。

翻看前端代碼，可憐的js文件就幾個，不過看還真的有了新發現，common.js里面定義了一些地址。

發現了這個系統除了生產還有兩個地市級也在使用，同時還有一個本地調試地址，這里只是定義了這些服務地址，根本沒用。但是呢，不妨礙我們去瞅一瞅其他的網站。

迂回作戰在我們做滲透時，如果這個搞不定那就去找同一框架的其他網站，說不定就能拿到備份網站源碼呢，同樣的想法，我們也應該去這個分站看一看。

其中一個站點就發現了一個驚喜，webpack打包文件，通過這個文件我們就能批量測試他的API接口了。

對接口進行測試，果然目標站點的接口都是一樣的，使用工具直接對接口進行批量未授權測試，發現了一個未授權的api/users/export/接口，可以直接導出數據

不算什么大問題，但終于算可以交差了。

擴大戰果有了接口，除了測試接口未授權，我們還能對接口進行其他測試。看了下接口，賬號只能后臺添加、審核、刪除、停用。

而且都有鑒權，沒得賬號密碼測試的點還是少了許多。不過功夫不負有心人，一個一個接口測試下來，還是發現了一個查看事件日志接口可以控制參數返回查詢內容。（一些接口前端的webpack是沒有的，但是可以通過報錯信息帶出來。不了解開發的心態）

這里的參數js中并沒有提供，需要自己Fuzz，不過這個系統非常的人性化，提供了報錯信息，圖是后補的。

通過對接口的遍歷測試，發現事件查詢接口有SQL報錯。

 直接保存post請求包，上神器sqlmap一把梭，拿捏。