挖SRC邏輯漏洞心得分享

文章來源i春秋

白帽子挖洞的道路還漫長的很,老司機豈非一日一年能煉成的。

本文多處引用了 YSRC 的 公(qi)開(yin)漏(ji)洞(qiao)。
挖SRC思路必定要廣！！！！
漏洞不會僅限於SQL注入、命令執行、文件上傳、XSS，更多的多是邏輯漏洞、信息泄露、弱口令、CSRF。
本文着重分析邏輯漏洞，其餘的表哥可能會分享更多的思路，敬請期待。
固然Web程序也不只限於網站程序，漏洞更多的多是微信公衆號端、APP應用程序等等
下面總結一下本身的SRC挖洞思路（邏輯漏洞）。
SRC常見的邏輯漏洞類型

0X01漏洞類型數據統計

 

列舉一下（BAT的SRC和其餘幾個小衆src的漏洞類型）

1.xss(反射 存儲型 post xss)

2.iis短文件泄露

3.物理路徑泄露（框架沒有自定義404頁或者php.ini配置錯誤）

4.svn泄露（.svn/entries）

5.phpinfo.php,test.php,test.html

6.目錄遍歷 site:qq.com intitle:index of（google hacking常見語法）(https://pentest-tools.com/information-gathering/google-hacking#)

7.?href=  （url跳轉漏洞）

8.crossdomain.xml文件的安全問題

9.淘寶產業鏈（賣帳號的，薅羊毛的，以及惡意地址過檢測的）

10.權限控制，直接訪問後臺

11.HTTP HOST頭攻擊

12.CRLF漏洞

13.邏輯漏洞 任意註冊

(app註冊時驗證碼能夠爆破，和驗證碼直接在返回包裏)

14.任意文件讀取 %c0%ae字符致使的

15.萬能密碼（admin’’or’=’or)

16.編輯器ckeditor xss(https://packetstormsecurity.com/ ... ath-Disclosure.html)

17.弱口令

18.discuz物理路徑泄露

（uc_server/control/admin/db.php）

19.phpmyadmin萬能密碼（‘localhost’@'@」）

20.struts2漏洞

21.魔圖漏洞 （ImageMagick）

22.Java反序列化漏洞

23.壓縮包下載（web.rar)

24.weblogic ssrf 探測目標內網(http://www.tuicool.com/articles/UjaqIbz)

25.威脅情報（跟蹤釣魚團伙）

26.thinkphp框架配置錯誤致使日誌下載漏洞(https://phpinfo.me/2016/09/09/1351.html)

27.郵件僞造(https://emkei.cz/)

28.el表達式(參考例子http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0195845.html)

29.利用wifi萬能鑰匙獲取全部wifi共享出來的弱密碼（物理接觸)

30.angularjs xss（http://avlidienbrunn.se/angular.txt）

31.任意文件讀取../etc/passwd

32.php解析漏洞1.jpg/.php

33.wpscan對wordpress站點的檢測,dzscan對discuz站點進行檢測
34.Apache tomcat session操控漏洞
35.注入
36.github,ds_store泄露(githack,ds_store_exp),

(注：此列表有些漏洞確實雞肋（你不提交怎麼知道廠商不收呢），僅作數據分析統計）

好比要挖360src，能夠學習別人的思路（關注標題）

0X02涉及到工具

awvs, appscan, safe3wvs, burpsuite ,k8 struts2檢測工具,Bugscan ,Pkav HTTP Fuzzer 1.5.6,御劍1.5，IIS_shortname_Scanner，hackbar插件，Wapplyzer插件(指紋），Seay-svn源代碼備份漏洞利用工具

（其實不少漏洞能夠直接作成字典，方便之後針對性的檢測，如敏感信息泄露和svn泄露，敏感壓縮包，包括收集經常使用的字典撞庫,增強效率）

0X03參考

http://doc.mbalib.com/view/42f9faa7cb1208192fdbb3c10059b840.html我是如何挖各SRC漏洞的

http://www.mottoin.com/95043.html SRC漏洞挖掘小看法
連接: http://pan.baidu.com/s/1c4BvT8 密碼: pdzf  深度測試企業應用安全經驗談only_guest

我的認爲邏輯是SRC出現最頻繁的也是最容易挖到的漏洞，分類比較多，本文僅分析各類邏輯漏洞


0x01  0元支付訂單


      a、使用抓包軟件（burpsuite、Fiddler...）抓包，經過分析向服務器傳輸的數據包，修改支付金額參數來達到欺騙服務器的效果，固然這只是最簡單的思路，稍有安全意識此種漏洞幾乎不會發生。
      b、案例分析：同程機票支付漏洞，漏洞實例傳送門：http://sec.ly.com/bugdetail?id=040057126240073192211042027138252087080136084116
            此漏洞僅僅是在支付以前抓包，僅經過修改bxprice 爲負數，完成了2元巴厘島旅遊，再次膜拜大佬，2000RMB+巴厘島豪華旅遊就此到手。


0x02  越權查看信息


      何謂越權？越過本身可以行使的權利來行使其餘權利，通俗來說，看了本身不應看到的東西，作了本身不能作的事。
      a、GET請求可直接修改URL參數，POST請求只能抓包，經過修改限定訂單號的參數值，實現任意訂單泄漏、開房記錄泄漏，固然不必定是訂單存在此漏洞，我的信息、帳戶詳情等各類私密信息均可能存在此漏洞。
      b、案例分析：酒店催房處的一處越權，漏洞實例傳送門：http://sec.ly.com/BugDetail?id=252000086183010135060073226184197160190134107123
            洞主不愧爲老司機，用小號批量請求大號能作的請求，若是請求成功，那不就是越權嗎？好像又GET到了什麼

0x03  越權添加或者刪除信息
      
      a、點擊添加信息，抓包後更換帳號，請求抓取的包數據，若能成功，則存在漏洞；刪除信息一樣可能存在越權。
      b、案例分析：同程機票越權添加卡包，漏洞實例傳送門：http://sec.ly.com/BugDetail?id=167225056174242138247150224042057206254063148243
            添加某項信息->抓取數據包->切換用戶->復現數據包->成功操做->漏洞存在

0x04  用戶密碼重置

a、密碼重置的姿式五花八門，不一樣的程序員可能作出的漏洞實例都不盡相同，說說我曾經遇到過的一些姿式吧：
         (1)修改密碼的驗證碼返回到Web前端進行驗證,也就是點擊獲取驗證碼後,驗證碼返回到網頁的某個hidden屬性的標籤中.
         (2)請求獲取修改某帳戶密碼時,修改發送驗證碼的手機號爲本身的手機號,獲得驗證碼,成功修改指定帳戶密碼.
         (3)修改密碼處的驗證碼的驗證次數或者驗證碼有效時間未作限制,致使可爆破驗證碼,固然,6位驗證碼比較花時間,4位秒破.
         (4)經過修改URL中的用戶名參數,從而達到直接請求最終修改指定帳戶的密碼.
         (5)抓取關鍵步驟中的POST數據包,經過修改POST數據中的UserName參數實現任意密碼重置.
         (6)郵箱驗證時,重置帳戶的URL重置密碼規則有規律可循,致使重置任意用戶密碼.
           ......若有遺漏的厲害(yin dang)姿式,請回復分享!!!!
       b、漏洞分析：旅倉平臺任意密碼重置，漏洞實例傳送門：http://sec.ly.com/BugDetail?id=079064078087124103206019249045164081132199016199
           此漏洞中重置密碼共分爲4步，洞主經過抓取第四步的POST數據包，從而實現只須要修改phone參數便可實現任意密碼重置，厲害。


0x05  無驗證碼的撞庫危害


      何謂撞庫？可使用其餘泄露數據庫的帳戶密碼來登陸另外一個網站。而我我的的理解是：用戶登陸接口未作限制，致使可無限爆破用戶名及密碼
     a、無可置否，無驗證碼的登陸界面是每一個人最願意看到的，這樣就能夠展開開心的爆破了，就算沒法爆破出正確的賬號密碼，可是隻要存在撞庫危害，SRC通常會給予經過，撞庫的危害程度取決於業務是主要業務仍是邊緣業務
     b、漏洞分析：同程某站點無驗證碼撞庫危害，漏洞實例傳送門：http://sec.ly.com/bugdetail?id=135117061114038121240092037083081014094068207009
          此漏洞爲YSRC剛開啓時的漏洞，因此存在無驗證碼的登陸，存在撞庫危害

0x06  驗證碼失效的撞庫危害


     a、登陸界面存在驗證碼，可是驗證碼只會在刷新當前URL時纔會刷新，這會致使提交POST數據包時驗證碼的失效，從而致使繞過驗證碼的爆破
     b、漏洞分析：同程某站點驗證碼無效致使可爆破，漏洞實例傳送門：http://sec.ly.com/bugdetail?id=112195171227053035139145119019247147086179238203
          當咱們嘗試使用burpsuite爆破時，設置好爆破元素開始爆破時，若是驗證碼失效，每一次爆破的Response則會提示用戶名或者密碼錯誤，而不是驗證碼錯誤，能夠嘗試檢測是否存在此種撞庫危害。

0x07  短信接口未做限制


     a、短信接口未作限制可致使短信轟炸，郵箱垃圾郵件轟炸，語音電話轟炸，危害係數較低。
     b、漏洞分析：購物卡兌換處短信語音轟炸，漏洞實例傳送門：http://sec.ly.com/bugdetail?id=041074113247105006058199239200236127208085195183
          此漏洞可手工檢測，也能夠抓包導入到Repeater復現數據包檢測，經常使用的接口限口是：phone number的發送短信次數


0x08  枚舉註冊用戶


     a、當咱們在登陸處輸入帳戶名時，點擊網頁的任意位置，網站會自動發送請求驗證帳戶名是否正確的數據包，此時便可截獲數據包進行用戶名的枚舉。
     b、漏洞分析：同程某站找回密碼用戶枚舉，漏洞實例傳送門：http://sec.ly.com/bugdetail?id=087197063184147205102065133186047083096133108230
         找回密碼處的驗證碼失效，致使可爆破用戶名來枚舉已註冊用戶