关于某SRC的一些不是漏洞的挖掘思路分享
2022-9-10 00:4:30 Author: 虚拟尽头(查看原文) 阅读量:39 收藏

好久没更新SRC相关的知识了,刚好某SRC拒绝了一些认为不是漏洞的正常业务,刚好让我拿来做案例讲讲。

简述

分享两类漏洞挖掘思路,多字,这边建议仔细看多思考。

并发
1

并发漏洞,其实危害挺大的,让我们想一下哪些场景可以使用并发来挖掘漏洞呢(建议自己思考一下)

并发获取优惠券并发赠送礼物并发创建低价格订单并发增加视频、文章观看量并发创建超出限制的项目并发开发票并发签到领取积分并发领取任务奖励

万物皆可并发,但是注意不要影响到业务。这里举两个某SRC忽略掉的栗子。

栗子一:

危害很小的一个洞,但是要说有危害吗,确实有(比如论坛里面出一个活动,观看量,热度最高的文章可以获奖,或者说一篇文章有多少阅读量给多少积分这种类似的,危害不就出来了吗)。

我们可以看到相同作者其他阅读量仅为400多,我把其中一篇文章跑到了一万多,其实我们也没使用到多快的并发速率,类似burp的inturde模块,众所周知这玩意发包很慢。

栗子二:

某充值界面,打开可以领优惠券,领取,抓包,然后用yakit的fuzz并发,感觉yakit的比burp的turbo模块快一点。平常只允许另一张的,但是我们领到两张,其实我也感觉这种漏洞,其实危害并不大,对吧,所以我们可以多想想之后可不可以扩大危害,例如一个订单可否使用多张优惠券,然后嘎嘎快乐,我说的就点到为止。

其实我想放一个并发开发票的例子的,虽然被百度给忽略了,但是打算之后去battlebattle,万一他们能给我给两个积分呢,反正没啥期望,失望也失望透了,只能怪我自己不能挖穿,技术不行。

越权漏洞
2

其实很多师傅觉得这种洞很难挖,其实这玩意看运气,然后再仔细一些,这种洞还是挺好找的,不过这种钱给的不多,就算再危险,某src也给不了你多少,越权修改任意用户的活动预算支出金额,或者修改任意活动信息,给个二十来个积分。大家看看笑话就行。

同上一个漏洞一样,我们先想一下越权可以出现在什么地方

越权查看账号的信息越权查看订单信息越权开别人订单发票越权查看别人的项目信息越权修改别人的信息越权修改别人的项目信息越权增加xxxxx越权删除xxxxx无非就是越权然后干你自己账号上面的事。

我们在挖这种洞的时候,先准备两个账号,然后准备两个浏览器,一个浏览器上面登一个账号。或者有方便的就是burp里的A啥玩意的检测越权插件,忘记了。我喜欢手工测。

然后就是每个数据包每个数据包的过,可以直接抓两个账号的相同数据包,然后替换其中的post的body。有时候有些加密了,就去js里面跟一跟。

有时候有些id是随机的,比如a的账户id为127001,b的账户id就有可能19216800,然后有些测试者遍历了一下127001,结果啥都没找到。

还有一个快速提升的方法就是去h1或者乌云看相同漏洞的报告,基本上大差不差的。

这里没敢放截图,毕竟某src给了二十几个金币呢。

字典
3

最后再分享一下我常用的字典,里面是我整理过的,去除了一些少见的,弄了一些新出的路径,反正我自己用着舒服

https://github.com/HoAd-sc/R-dict

往期文章推荐

SRC 挖洞tips
一次src挖洞经历(不是一个)
自己遇到的一些逻辑漏洞
一文学懂正则匹配
对单一的ip目标测试
一次命令执行的实战绕过


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxOTM1MTU0OQ==&mid=2247484862&idx=1&sn=5ca352f7f70d42448a49380609bfcbc6&chksm=c1a23c2cf6d5b53a9b4758dcb01c1d6b333a93b2b00035cb24af5f1fcbee7f37e4f322189c0a#rd
如有侵权请联系:admin#unsafe.sh