挖SRC逻辑漏洞心得分享

文章来源i春秋

白帽子挖洞的道路还漫长的很,老司机岂非一日一年能炼成的。

本文多处引用了 YSRC 的 公(qi)开(yin)漏(ji)洞(qiao)。
挖SRC思路必定要广！！！！
漏洞不会仅限于SQL注入、命令执行、文件上传、XSS，更多的多是逻辑漏洞、信息泄露、弱口令、CSRF。
本文着重分析逻辑漏洞，其余的表哥可能会分享更多的思路，敬请期待。
固然Web程序也不只限于网站程序，漏洞更多的多是微信公众号端、APP应用程序等等
下面总结一下本身的SRC挖洞思路（逻辑漏洞）。
SRC常见的逻辑漏洞类型

0X01漏洞类型数据统计

 

列举一下（BAT的SRC和其余几个小众src的漏洞类型）

1.xss(反射 存储型 post xss)

2.iis短文件泄露

3.物理路径泄露（框架没有自定义404页或者php.ini配置错误）

4.svn泄露（.svn/entries）

5.phpinfo.php,test.php,test.html

6.目录遍历 site:qq.com intitle:index of（google hacking常见语法）(https://pentest-tools.com/information-gathering/google-hacking#)

7.?href=  （url跳转漏洞）

8.crossdomain.xml文件的安全问题

9.淘宝产业链（卖帐号的，薅羊毛的，以及恶意地址过检测的）

10.权限控制，直接访问后台

11.HTTP HOST头攻击

12.CRLF漏洞

13.逻辑漏洞 任意注册

(app注册时验证码能够爆破，和验证码直接在返回包里)

14.任意文件读取 %c0%ae字符致使的

15.万能密码（admin’’or’=’or)

16.编辑器ckeditor xss(https://packetstormsecurity.com/ ... ath-Disclosure.html)

17.弱口令

18.discuz物理路径泄露

（uc_server/control/admin/db.php）

19.phpmyadmin万能密码（‘localhost’@'@”）

20.struts2漏洞

21.魔图漏洞 （ImageMagick）

22.Java反序列化漏洞

23.压缩包下载（web.rar)

24.weblogic ssrf 探测目标内网(http://www.tuicool.com/articles/UjaqIbz)

25.威胁情报（跟踪钓鱼团伙）

26.thinkphp框架配置错误致使日志下载漏洞(https://phpinfo.me/2016/09/09/1351.html)

27.邮件伪造(https://emkei.cz/)

28.el表达式(参考例子http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0195845.html)

29.利用wifi万能钥匙获取全部wifi共享出来的弱密码（物理接触)

30.angularjs xss（http://avlidienbrunn.se/angular.txt）

31.任意文件读取../etc/passwd

32.php解析漏洞1.jpg/.php

33.wpscan对wordpress站点的检测,dzscan对discuz站点进行检测
34.Apache tomcat session操控漏洞
35.注入
36.github,ds_store泄露(githack,ds_store_exp),

(注：此列表有些漏洞确实鸡肋（你不提交怎么知道厂商不收呢），仅作数据分析统计）

好比要挖360src，能够学习别人的思路（关注标题）

0X02涉及到工具

awvs, appscan, safe3wvs, burpsuite ,k8 struts2检测工具,Bugscan ,Pkav HTTP Fuzzer 1.5.6,御剑1.5，IIS_shortname_Scanner，hackbar插件，Wapplyzer插件(指纹），Seay-svn源代码备份漏洞利用工具

（其实不少漏洞能够直接作成字典，方便之后针对性的检测，如敏感信息泄露和svn泄露，敏感压缩包，包括收集经常使用的字典撞库,增强效率）

0X03参考

http://doc.mbalib.com/view/42f9faa7cb1208192fdbb3c10059b840.html我是如何挖各SRC漏洞的

http://www.mottoin.com/95043.html SRC漏洞挖掘小看法
连接: http://pan.baidu.com/s/1c4BvT8 密码: pdzf  深度测试企业应用安全经验谈only_guest

我的认为逻辑是SRC出现最频繁的也是最容易挖到的漏洞，分类比较多，本文仅分析各类逻辑漏洞


0x01  0元支付订单


      a、使用抓包软件（burpsuite、Fiddler...）抓包，经过分析向服务器传输的数据包，修改支付金额参数来达到欺骗服务器的效果，固然这只是最简单的思路，稍有安全意识此种漏洞几乎不会发生。
      b、案例分析：同程机票支付漏洞，漏洞实例传送门：http://sec.ly.com/bugdetail?id=040057126240073192211042027138252087080136084116
            此漏洞仅仅是在支付以前抓包，仅经过修改bxprice 为负数，完成了2元巴厘岛旅游，再次膜拜大佬，2000RMB+巴厘岛豪华旅游就此到手。


0x02  越权查看信息


      何谓越权？越过本身可以行使的权利来行使其余权利，通俗来说，看了本身不应看到的东西，作了本身不能作的事。
      a、GET请求可直接修改URL参数，POST请求只能抓包，经过修改限定订单号的参数值，实现任意订单泄漏、开房记录泄漏，固然不必定是订单存在此漏洞，我的信息、帐户详情等各类私密信息均可能存在此漏洞。
      b、案例分析：酒店催房处的一处越权，漏洞实例传送门：http://sec.ly.com/BugDetail?id=252000086183010135060073226184197160190134107123
            洞主不愧为老司机，用小号批量请求大号能作的请求，若是请求成功，那不就是越权吗？好像又GET到了什么

0x03  越权添加或者删除信息
      
      a、点击添加信息，抓包后更换帐号，请求抓取的包数据，若能成功，则存在漏洞；删除信息一样可能存在越权。
      b、案例分析：同程机票越权添加卡包，漏洞实例传送门：http://sec.ly.com/BugDetail?id=167225056174242138247150224042057206254063148243
            添加某项信息->抓取数据包->切换用户->复现数据包->成功操做->漏洞存在

0x04  用户密码重置

a、密码重置的姿式五花八门，不一样的程序员可能作出的漏洞实例都不尽相同，说说我曾经遇到过的一些姿式吧：
         (1)修改密码的验证码返回到Web前端进行验证,也就是点击获取验证码后,验证码返回到网页的某个hidden属性的标签中.
         (2)请求获取修改某帐户密码时,修改发送验证码的手机号为本身的手机号,获得验证码,成功修改指定帐户密码.
         (3)修改密码处的验证码的验证次数或者验证码有效时间未作限制,致使可爆破验证码,固然,6位验证码比较花时间,4位秒破.
         (4)经过修改URL中的用户名参数,从而达到直接请求最终修改指定帐户的密码.
         (5)抓取关键步骤中的POST数据包,经过修改POST数据中的UserName参数实现任意密码重置.
         (6)邮箱验证时,重置帐户的URL重置密码规则有规律可循,致使重置任意用户密码.
           ......若有遗漏的厉害(yin dang)姿式,请回复分享!!!!
       b、漏洞分析：旅仓平台任意密码重置，漏洞实例传送门：http://sec.ly.com/BugDetail?id=079064078087124103206019249045164081132199016199
           此漏洞中重置密码共分为4步，洞主经过抓取第四步的POST数据包，从而实现只须要修改phone参数便可实现任意密码重置，厉害。


0x05  无验证码的撞库危害


      何谓撞库？可使用其余泄露数据库的帐户密码来登陆另外一个网站。而我我的的理解是：用户登陆接口未作限制，致使可无限爆破用户名及密码
     a、无可置否，无验证码的登陆界面是每一个人最愿意看到的，这样就能够展开开心的爆破了，就算没法爆破出正确的账号密码，可是只要存在撞库危害，SRC通常会给予经过，撞库的危害程度取决于业务是主要业务仍是边缘业务
     b、漏洞分析：同程某站点无验证码撞库危害，漏洞实例传送门：http://sec.ly.com/bugdetail?id=135117061114038121240092037083081014094068207009
          此漏洞为YSRC刚开启时的漏洞，因此存在无验证码的登陆，存在撞库危害

0x06  验证码失效的撞库危害


     a、登陆界面存在验证码，可是验证码只会在刷新当前URL时才会刷新，这会致使提交POST数据包时验证码的失效，从而致使绕过验证码的爆破
     b、漏洞分析：同程某站点验证码无效致使可爆破，漏洞实例传送门：http://sec.ly.com/bugdetail?id=112195171227053035139145119019247147086179238203
          当咱们尝试使用burpsuite爆破时，设置好爆破元素开始爆破时，若是验证码失效，每一次爆破的Response则会提示用户名或者密码错误，而不是验证码错误，能够尝试检测是否存在此种撞库危害。

0x07  短信接口未做限制


     a、短信接口未作限制可致使短信轰炸，邮箱垃圾邮件轰炸，语音电话轰炸，危害系数较低。
     b、漏洞分析：购物卡兑换处短信语音轰炸，漏洞实例传送门：http://sec.ly.com/bugdetail?id=041074113247105006058199239200236127208085195183
          此漏洞可手工检测，也能够抓包导入到Repeater复现数据包检测，经常使用的接口限口是：phone number的发送短信次数


0x08  枚举注册用户


     a、当咱们在登陆处输入帐户名时，点击网页的任意位置，网站会自动发送请求验证帐户名是否正确的数据包，此时便可截获数据包进行用户名的枚举。
     b、漏洞分析：同程某站找回密码用户枚举，漏洞实例传送门：http://sec.ly.com/bugdetail?id=087197063184147205102065133186047083096133108230
         找回密码处的验证码失效，致使可爆破用户名来枚举已注册用户