捡漏CNVD证书
The following article is from NGC660安全实验室 Author kgg
前言
最近这半个多月,瓶颈期了,黑盒黑不出东西,白盒审不出东西
幸好今天灵机一动换了个资产搜集语法直接打到移某通信的swagger未授权访问
语法:
(icp.name="中国XX通信" or icp.name="中国X信" or icp.name="中国X通" or icp.name="中国X塔") and ip.country="CN" and web.tag=""
其中web.tag是鹰图对资产打的标签
这里选择 web.tag="API Manager"
出来了,swagger ui的界面,一个未授权GET
交个CNVD齐活!
你以为这就结束了吗?
心有不甘
一口老血喷出(后面才知道是我那位冤种好友羽义在3月底交的555555555
这是突然想到,这是一台云主机,或许我可以看看它其他的端口,利用鹰图,IP详情
50积分
可以查看各个端口的信息,于是又开启一波测试
峰回路转
测试了半天,真的吐血了,各种WAF拦截 /(ㄒoㄒ)/~~
车到山前必有路
51001端口
访问页面
admin弱口令测试一下,没出,简单抓个包看看
POST /api/auth/login HTTP/1.1
Host: xxxxxxxxxx
Content-Length: 40
Accept: application/json, text/plain, */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36 Edg/112.0.1722.58
Content-Type: application/json;charset=UTF-8
Origin: xxxxxxxxxxxxxxxx:51001
Referer: xxxxxxxxxxxxxxx:51001/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
{"username":"admin","password":"123456"}
不同于前面的测试,在之前的测试中,可以从请求包中很明显的发现存在安全狗字段:safedog-xxxxx=xxxx
而这个数据包,它没有
我直接SQLMAP梭哈
Payload:
{"username":"admin') AND (SELECT 7495 FROM (SELECT(SLEEP(5)))bxrT) AND ('LFaX'='LFaX","password":"123456"}
参数username存在SQL注入
看看DBA
虽然不是dba,但好歹一张CNVD事件证书到手
锦上添花
20022 端口
同样的,弱口令+抓包
同样的,请求包无waf字段
跟前面那个的数据包几乎一模一样,但是数据包请求的ip地址不同
继续梭哈!
dba 权限
渗透测试讲究点到为止
证书+1
效率杠杠的
如果,你也像我一样,那真的是,泰裤辣!
关注公众号后台回复 0001 领取域渗透思维导图,0002 领取VMware 17永久激活码,0003 获取SGK地址,0004 获取在线ChatGPT地址,0005 获取 Windows10渗透集成环境,0006 获取 CobaltStrike 4.8破解版
加我微信好友,邀请你进交流群
往期推荐