好久没更新SRC相关的知识了,刚好某SRC拒绝了一些认为不是漏洞的正常业务,刚好让我拿来做案例讲讲。
分享两类漏洞挖掘思路,多字,这边建议仔细看多思考。
并发漏洞,其实危害挺大的,让我们想一下哪些场景可以使用并发来挖掘漏洞呢(建议自己思考一下)
并发获取优惠券
并发赠送礼物
并发创建低价格订单
并发增加视频、文章观看量
并发创建超出限制的项目
并发开发票
并发签到领取积分
并发领取任务奖励
万物皆可并发,但是注意不要影响到业务。这里举两个某SRC忽略掉的栗子。
栗子一:
危害很小的一个洞,但是要说有危害吗,确实有(比如论坛里面出一个活动,观看量,热度最高的文章可以获奖,或者说一篇文章有多少阅读量给多少积分这种类似的,危害不就出来了吗)。
我们可以看到相同作者其他阅读量仅为400多,我把其中一篇文章跑到了一万多,其实我们也没使用到多快的并发速率,类似burp的inturde模块,众所周知这玩意发包很慢。
栗子二:
某充值界面,打开可以领优惠券,领取,抓包,然后用yakit的fuzz并发,感觉yakit的比burp的turbo模块快一点。平常只允许另一张的,但是我们领到两张,其实我也感觉这种漏洞,其实危害并不大,对吧,所以我们可以多想想之后可不可以扩大危害,例如一个订单可否使用多张优惠券,然后嘎嘎快乐,我说的就点到为止。
其实我想放一个并发开发票的例子的,虽然被百度给忽略了,但是打算之后去battlebattle,万一他们能给我给两个积分呢,反正没啥期望,失望也失望透了,只能怪我自己不能挖穿,技术不行。
其实很多师傅觉得这种洞很难挖,其实这玩意看运气,然后再仔细一些,这种洞还是挺好找的,不过这种钱给的不多,就算再危险,某src也给不了你多少,越权修改任意用户的活动预算支出金额,或者修改任意活动信息,给个二十来个积分。大家看看笑话就行。
同上一个漏洞一样,我们先想一下越权可以出现在什么地方
越权查看账号的信息
越权查看订单信息
越权开别人订单发票
越权查看别人的项目信息
越权修改别人的信息
越权修改别人的项目信息
越权增加xxxxx
越权删除xxxxx
无非就是越权然后干你自己账号上面的事。
我们在挖这种洞的时候,先准备两个账号,然后准备两个浏览器,一个浏览器上面登一个账号。或者有方便的就是burp里的A啥玩意的检测越权插件,忘记了。我喜欢手工测。
然后就是每个数据包每个数据包的过,可以直接抓两个账号的相同数据包,然后替换其中的post的body。有时候有些加密了,就去js里面跟一跟。
有时候有些id是随机的,比如a的账户id为127001,b的账户id就有可能19216800,然后有些测试者遍历了一下127001,结果啥都没找到。
还有一个快速提升的方法就是去h1或者乌云看相同漏洞的报告,基本上大差不差的。
这里没敢放截图,毕竟某src给了二十几个金币呢。
最后再分享一下我常用的字典,里面是我整理过的,去除了一些少见的,弄了一些新出的路径,反正我自己用着舒服
https://github.com/HoAd-sc/R-dict
往期文章推荐
SRC 挖洞tips
一次src挖洞经历(不是一个)
自己遇到的一些逻辑漏洞
一文学懂正则匹配
对单一的ip目标测试
一次命令执行的实战绕过