记一次某OA的渗透测试(前台注入)
TheKingOfDuck 渗透测试 16640浏览 · 2019-11-27 01:41

0x01 初始化

目标是这个样子的:

开发商已知,搜索引擎没找到洞。。。

0x02 加载中

登陆口可以爆破,但是:

用户名也遍历不了,简单爆破了一下,无果

前台JS的文件命名很有意思:

满屏SB:

开发当时的怨气挺重的。

每个JS都仔细分析了一遍,无果

扫了一下目录,无果

扫了一下端口,无果

关注到UI有这个:

群文件里面下载到APP:

日常反编译看看代码:

Web2App,有几个开发方的接口地址,未见到目标地址。不过通过接口翻阅,找到目标地址:

木有日错...

web2app没有太多继续看代码的必要,模拟器抓包。

实名吐槽一下网易mumu Mac版,经常启动不成功,日常卡在99%,丢,耗时间。。。

箭头指出来打码的部分是一个数字,没有返回新Cookie什么的,铁定只是做了前端验证:

果不其然,基础思路首先是可以篡改返回值登陆绕过,其次是用户名可遍历。

然而登陆绕过并没有什么卵用:

图丢了,瞎画了一个,就是...在新设备登陆登陆需要管理员审核通过才行,太菜了绕不动. 可以篡改提交的审核信息, 应该有Xss, 但是没时间等...

日常遍历用户,找口令,不管能不能登陆成功,只要口令正确,唬住客户还是OK的。

口令1 Get。

然后日常fuzz接口。

(图丢了,瞎截的,最终结果是找到下图)

在一个接口的返回中找到另一个接口:

构造数据包:

之前的遍历出来的用户名起到了作用,可以查到一点点没卵用的信息,本能的测一下注入:

前台注入Get。(0day?!)

0x03 加载成功

丢,管理员和测试账号一个密码,并不复杂。。。

相关字典:

https://github.com/TheKingOfDuck/fuzzDicts

以上内容纯属虚构。遵纪守法的公民是不会挖洞的。

12 条评论
某人
表情
可输入 255
155****7746
2019-12-27 07:25 0 回复

快醒醒,你哪来的学妹


TheKingOfDuck
2019-12-21 12:20 0 回复

@Talisit 对的。


Talisit
2019-12-18 03:22 0 回复

@CoolCat OA?=,这里是对OA参数进行爆破?


TheKingOfDuck
2019-12-02 12:14 1 回复

@LiBai 恕我直言,这就是常规的黑盒测试的而已,核心参数全部露出来的,为的是给其他师傅碰到这个OA时跟着这个思路找到注入点,而不是直接将注入点提供给你。


LiBai
2019-12-02 06:20 0 回复

恕我直言,这码打的我啥都没学到。


TheKingOfDuck
2019-12-01 05:16 0 回复

@aries get 谢谢师傅!


aries
2019-11-29 06:50 0 回复

网易MuMu模拟器,在设置了代理之后,会卡在99%(即使导入了证书也会)。

解决办法:1. 卡在99%的时候是可以进入adb shell,清空代理服务器设置.然后重启就可以了。参考:通过adb修改代理设置



  1. 没次关掉模拟器之前,先把代理服务器清除。


Kerberos
2019-11-28 07:51 0 回复

羡慕有两个QQ号的人


cop****ie1d
2019-11-28 03:09 0 回复

为什么我的眼里都是马赛克,还有mac版的mumu确实是真的捞


flowerdance_****
2019-11-28 01:50 0 回复

快醒醒,你哪来的学妹


aoteman
2019-11-27 06:36 1 回复

快醒醒,学妹掏出来比你大


忆水丶
2019-11-27 02:38 1 回复

快醒醒,哪里来的学妹