記一次內部系統滲透測試：小漏洞組合拳 - ⎝⎛CodingNote.cc ⎞⎠

記一次內部系統滲透測試：小漏洞組合拳

2019 年 10 月 5 日
筆記

前言

這篇文章主要說的是我在這次內部測試的任務中，如何一步步獲取應用系統最高許可權，總的來說，是各種小漏洞的組合拳。因是內部系統，所以打碼稍微嚴重些。

正文

在興（suo）致（ran）盎（wu）然（wei）的某一工作日，突然接到領導的指示，要對內部的運維平台進行滲透測試。

在收到消息的第二天，我精（wan）神（ban）抖（wu）擻（nai）的開始了我的工作。要到測試地址後，我一看，卧槽，果然不出所料，只有一個登陸框。

對於這種系統，我在心裡告訴自己，不要慌，辦法總比困難多，隨便找兩個低危漏洞交差了事，並且又想到，這是生產系統，全國幾十個分公司都實時在用，可不能搞癱瘓了，最終我說服自己不掃描、不測影響業務的漏洞，這樣一想，我心裡立馬更堅定了只找兩個低位漏洞交差的想法。我果然是聰敏人！！

開始

好的，接下來我就簡單的收集了些資訊

首先用google插件wapplyzer，查看了當前系統的資訊

為了不被防火牆拉黑，nmap簡單的跑了一下，就是探測一些常見的埠，看看管理員有沒有部署一些用於測試的垃圾站。。。。結果可想而知。

還跑過系統目錄，鍾馗也看了下等等，沒什麼有用資訊，就不貼圖了。

看來確實要對主站完全手工了，只能打開神器burp分析數據包，盡量挖一些邏輯上的漏洞。

我看了登錄框，沒驗證碼，首先想到的肯定是對admin帳號先爆破一波。然而：當我輸入幾次登錄資訊後，發現用戶名密碼錯誤提示是一樣的，且有5次錯誤鎖定策略，那肯定就不能直接進行爆破了。

接著看網頁源碼也沒什麼有用資訊，但看包竟然是明文傳輸的，這種情況下，採用單次撞庫是最合適的手段。

接下來就是祭出burp，抓包，撞庫，用topname10000進行撞庫，幸好沒用tonname500，要不然可能就涼了

運氣不錯啊，一萬裡面總算還有兩個成功的，看來後台的弱口令總是會有漏網之魚。

到這，我覺得我的工作已經算是超額了，可以交差了。但想著將要面對領導那慈祥的眼神，我只能瑟瑟發抖的再接著往下測。

登錄wu**這個帳號到系統裡面，發現這個帳號許可權很低，不行，滿足不了自己的需求，再嘗試登錄另一個帳號，蒼天有眼，竟然有新建帳號的許可權，看來是個當官的了。。。

接下來就是對帳號新建功能一系列的嘗試，過程就略了。。。。只說結果。

在新建帳號發現在選擇角色處，某一個角色許可權竟然比自己使用的帳號的許可權還要高，果斷就建了一個帳號systemtest。

然後再登錄systemtest發現，有更多的模組，而其中一項竟然是角色管理，而這個角色管理可以新建一個角色，並且新建角色盡然可以選擇擁有所有模組的許可權，以我的作風，那必須立馬盤它。

到此，感覺到渾身充滿了力量，這麼容易就拿下了最高許可權？迫不及待的我立馬新建了一個角色，一個帳號systemtest2，登錄。。。

噗。。看到這畫面，我就蒙了，現實果然給了我一個狠狠的耳刮子，這個許可權竟然只有某一個分公司的最高許可權，而不是系統總部的最高許可權，這可不行，都到這了，一定要拿下總部的最高許可權。

接著，我又開始目的性很強的功能分析與尋找，其實就是胡亂點擊，過程就略了…..最終我在查看用戶資訊的時候發現，發現一個很有特色的參數，而這個參數很像用戶的ID值

以我的聰（cai）明（shu）才（xue）智（qian）立馬感覺這參數有戲，果不其然，我一訪問，就感覺發現了新大陸一樣

遍歷340這個值，就可以直接修改個人資訊啊。然後我經過測試，順利的發現了admin帳號的資訊

到了這一步，我就要舉一反三了，既然可以修改用戶資訊，那是不是也可以越權修改用戶密碼呢？帶著這個疑問，我直接到修改個人密碼功能的地方，果然可以越權訪問修改密碼的URL。。

接下來就是要必須解決舊密碼的問題，只能去嘗試是否可以繞過，沒辦法，只有抓包分析了。

咦。。。當我在輸入舊密碼後，準備輸入新密碼時，系統竟然會先對舊密碼進行判定，我就在想這很可能可以繞過舊密碼驗證

我馬上進行了抓包，果不其然，判定條件就以true/false來判定的，到了這，我感覺我要成功了，有點開始飄了，看來可以交差了。我把response結果改為true，長度改為4，果然成功繞過了驗證。哈哈….

那接下來就一切順利了，修改了admin密碼，並成功登陸，看到了所有分公司的數據。。。。。。。

至此，就一切結束了，可以交差了。

測試的工作嘛，到這就結束了，至於拿shell，後滲透這些什麼的，就再慢慢弄算了。。先把報告除了再說。

結語

拿下系統的最高許可權並不是僅僅單靠某一漏洞，而是靠的各種小漏洞的組合拳，首先是明文傳輸，這就有了撞庫的機會，然後是有弱口令，撞庫才會成功，然後功能設計上也有缺陷，低許可權的帳號怎麼能新建高許可權的帳號呢？設計者這就應該挨板子了，再然後才有越權訪問admin資訊，再有原密碼的繞過，這一系列小漏洞單獨來說不嚴重，但一旦結合起來，就出現了很嚴重的安全事件，在進行安全防護工作時，應盡量考慮周全，任何一個弱點都可能成為黑客的突破口。

*本文原創作者：jin16879，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

Previous post

python測試開發django-64.序列化(Serializer)

Next post

flink 到底有什麼優勢值得大家這麼熱衷