上周公司开完会,感觉到阵阵压力。我的领导偷偷和我们在群里聊了很多。后来他心血来潮突然丢了个教师系统给我们练手于是就有了后续的事情
。
整个界面比较简单没有什么可以突破的地方。看到忘记密码点进去发现并没有什么软用
。
你根本不知道这些老师的信息也无法去爆破,当然如果你闲来无事拿个海量字典去跑,我想单单一个身份证就够你跑上好一段的时间
。还是放弃靠爆破进入后台这个思路吧。回到登录界面看看网站源码也许会有新发现。果然在查看源码的时候发现一些新的链接!
竟然隐藏了注册页面的地址,但是却没有把源代码里的部分给删除掉。嘿嘿!
发现突破点了,直接访问看看能不能注册一波。可能管理员原意是关闭注册功能,但是忘记把首页上的代码删除只是简单的做了隐藏。
直接填写信息开启BURP抓包点击注册。
直接提交发现返回了false。开了另外个浏览器直接测试注册用户发现并未注册成功。
经过多次提交抓包测试发现原来是注册时候,教师编号该项属于必填项而且在注册页面上并未标注是必填项,这地方可把我坑死了!所以说为了防止这类事情发生以后各位注册的时候请把信息填满这样就不会出现这么尴尬的情况了。
修改了teacherNo后服务器就返回了信息。
后续随便修改个长一点的teacherNo就可以注册成功了。
我发现数据包里有个参数roleId=5再根据之前查看页面源码发现的关键信息。原来是有角色区分的。
如果roleId=5是教师的话那么省管理员会不会是roleId=1呢?带着疑问我提交了数据包发现注册成功。并且进入后台发现自己是省管理员。此处我就不贴图片了,之前已经测试过了并且把注册的用户删除了。删除的过程比较麻烦所以就不再注册了。该系统如果注册教师是无法注册的应该是被系统禁用了,但是可以注册除了教师以外其他的角色。
总结:其实整个过程没有太多的技术要求,大部分还是经验为主。造成这种情况的发生是数据库设计当初没有将管理员级别用户和普通用户采用不同的表来存放。如何判断这点可以看注册时候提交的参数比如roleId,这个参数就是为了区别每个用户所具有的权限,分开存放的话只有高权限用户表需要进行区分,最低级的用户就不需要进行区分了。所以以后大家碰到类似的情况大家可以按照这个思路进行渗透一定会有不可思议的发现。
最后不知道细心的人有没有发现!任何一个后台系统都必然有一个超级管理员来管理用户。那么这个系统也不例外。竟然他的所有用户都存放在一个表里那么超级管理员必然也在这个表,roleId是多少就要靠自己去注册页面进行猜测注册了。一旦注册成为超级管理员那么后台的信息当然就毫无保留的展现在你面前了。有幸进入系统的各位不要乱来哦~现在的网络安全法可是明令规定了。
以上是个人分享的一些思路和方法,希望能给新人提供一些渗透技巧。没有太多的技术,大牛就当看个乐子吧~~第一次发帖有很多不足以后慢慢改进吧!
本文作者:高凯强,转载自:https://bbs.ichunqiu.com/thread-32143-1-1.html
440
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
