最近两个月学着去挖洞,混了快2个月的补天。还是有挺多收获的。这里记录一个昨天对某人才网的渗透测试。从逻辑越权,xss,弱口令等到getshell,控制数据库.....

新人第一次写稿,有不足的地方恳请师傅们指出
目标站点我就以www.xxx.com代替

1. 逻辑越权

这个人才网有个人用户和企业用户,企业用户注册需要提供营业执照等等。然后只有企业用户才能下载人才简历,查看各个求职者的详细信息,比如身份证号码,联系方式等等。
我们先注册一个个人用户,然后登陆
我们可以看到下面有个"最新人才"的栏目

1.png

点更多,我们可以看到有大约有3w多简历

2.png

我们先随便点一个人的简历

3.png

可以看到当我们是个人用户时已经可以看见这个求职者的很多信息了,但是身份证信息和联系方式作为个人用户是看不见的

4.png

然后我们尝试点一下下载简历

5.png

果然只有企业用户才能下载。
这时候我想起了在各大平台看见的逻辑漏洞的总结,于是尝试用burp抓包来看看有没有可能越权成为企业用户
我们对下载简历抓包

6.png

我们可以看到那个eid是我们查看的这个简历的id。然后在cookie里,有个usertype和uid,个人用户的usertype是1,于是我们尝试改成2。然后这里必须uid也得改成随便一个企业的uid,因为这里usertype是判断用户账号是个人用户还是企业用户,然后这个uid是判断有没有下载权限。
我们在首页随便找一个企业

7.png

然后发包

8.png

然后这里就已经越权成为企业用户了,可以查看到用户联系方式了。
然后我们再对这个图上那个下载简历抓包,同样修改usertype和uid,然后再发包

9.png

然后到这里,不要以为失败了。
我们还是得对这个页面抓包,继续改usertype和uid。然后再次发包就可以下载了

10.png

word文档的简历内容很长,就截了前面部分。可以看到这里就可以看见完整的身份证号码信息。
(Ps:这里在改完uid后,提示说金币不够什么的,就换一个企业的uid试试就好了,因为这里下载简历是要消耗那个企业的金币的,没有金币就得充钱)

2.XSS

我们个人用户登陆后会让我们完善简历。在简历填写的多处存在储存型XSS
这里拿自我评价处做例子(毕竟企业看人才简历时可以看到自我评价)

11.png

12.png

这里我们可以利用xss来获取那些企业用户的cookie,且看cookie,并没有httponly的设置,所以可以直接登陆任意查看过这个简历的企业用户。

标签: none

添加新评论