1、原創(chuàng)干貨 | WebFuzzing方法和漏洞案例總結(jié) 作者：Vulkey_Chen原文鏈接：/s/WgenBKsogwLPuXnm6NrhdA本文由 干貨 收集整理：/test/index.php博客： 背景之前有幸做過(guò)一次線下的議題分享我的 Web 應(yīng)用安全模糊測(cè)試之路，講解了一些常用的 WebFuzzing 技巧和案例，該議題得到了很大的回響，很多師傅們也與我進(jìn)行了交流，但考慮到之前分享過(guò)很多思路非常不全面，這里以本篇文章作為一次總結(jié)，以實(shí)戰(zhàn)引出技巧思路（方法）。 我的 Web 應(yīng)用安全模糊測(cè)

2、試之路議題解讀： /archives/2018-07-25/1 （推薦閱讀） 實(shí)戰(zhàn)案例項(xiàng)目FuzzDict以下分享的案例都是個(gè)人在參與項(xiàng)目或私密眾測(cè)邀請(qǐng)時(shí)遇見(jiàn)的真實(shí)案例，案例大多基于個(gè)人收集和整理的（字典庫(kù)）。 21 其中涉及的一些漏洞可能無(wú)法作為 Fuzzing 歸類(lèi)，這里也進(jìn)行了強(qiáng)行的歸類(lèi)，只是想告訴大家漏洞挖掘中思路發(fā)散的重要性，個(gè)人也覺(jué)得比較經(jīng)典。注： 漏洞案例進(jìn)行了脫敏以及細(xì)節(jié)上的修改 案例 -AddSQLi 注入漏洞 1. 獲得項(xiàng)目子域： 2. 目錄掃描發(fā)現(xiàn) /user/ 目錄，二層探測(cè)發(fā)現(xiàn) /register 接口，其意為

3、：“注冊(cè)”unamepwd3. 根據(jù)返回狀態(tài)信息去 Fuzz 用戶(hù)名、參數(shù) - 結(jié)果： 參數(shù)uname4. 對(duì)進(jìn)行 SQL 注入測(cè)試，簡(jiǎn)單的邏輯判斷存在 5. 注入點(diǎn)使用 16 進(jìn)制的方式無(wú)法注入， SQLmap 參數(shù) -no-escape 即可繞過(guò) 拒絕服務(wù) 圖片驗(yàn)證碼圖片驗(yàn)證碼 DoS （拒絕服務(wù)攻擊）這個(gè)思路很早就出來(lái)了，當(dāng)時(shí)的第一想法就是采集樣本收集參數(shù)，使用搜索引擎尋找存在圖片驗(yàn)證碼的點(diǎn)： 根據(jù)這些點(diǎn)寫(xiě)了個(gè)腳本進(jìn)行半自動(dòng)的參數(shù)收集： 在漏洞挖掘的過(guò)程中，經(jīng)常會(huì)抓取圖片驗(yàn)證碼的請(qǐng)求進(jìn)行 Fuzz ： 圖片驗(yàn)證碼地址： https:/xxx/validateCodeFuzz 存在潛藏參數(shù)

4、，可控驗(yàn)證碼生成大小： JSONP 無(wú)中生有獲得一個(gè)敏感信息返回的請(qǐng)求端點(diǎn)： http:/xxx/getInfo使用 callback_dict.txt 字典進(jìn)行 Fuzz成功發(fā)現(xiàn) callback 這個(gè)潛藏參數(shù) 邏輯漏洞 響應(yīng)變請(qǐng)求 responseData : userid : user_id , login : user_name , password : user_password , mobilenum : user_mobilephone_number , mobileisbound : 01 , email : user_email_address 這里同樣是獲得一個(gè)敏感信息返回

5、的請(qǐng)求端點(diǎn)： http:/xxx/getInfo返回的信息如下所示： 嘗試了一些測(cè)試思路都無(wú)法發(fā)現(xiàn)安全漏洞，于是想到了 響應(yīng)變請(qǐng)求 思路 將響應(yīng)報(bào)文的 JSON 字段內(nèi)容轉(zhuǎn)化為 HTTP 請(qǐng)求的字段內(nèi)容（ BurpSuite 插件項(xiàng)目： /gh0stkey/JSONandHTTPP ）： 將相關(guān)的信息字段內(nèi)容替換為測(cè)試賬號(hào) B 的信息（例如： login=A- login=B ） 發(fā)現(xiàn)無(wú)法得到預(yù)期的越權(quán)漏洞，并嘗試分析該網(wǎng)站其他請(qǐng)求接口對(duì)應(yīng)的參數(shù)，發(fā)現(xiàn)都為大寫(xiě)，將之前的參數(shù)轉(zhuǎn)換為大寫(xiě) 繼續(xù) Fuzz ，結(jié)果卻出人意料達(dá)到了預(yù)期 案例 -Update 邏輯漏洞

6、命名規(guī)律修改一個(gè)登錄系統(tǒng)，跟蹤 JS 文件發(fā)現(xiàn)了一些登錄后的系統(tǒng)接口，找到其中的注冊(cè)接口成功注冊(cè)賬戶(hù)進(jìn)入個(gè)人中心，用戶(hù)管理處抓到如下請(qǐng)求： 返回如下信息： 可以看見(jiàn)這里的信息并不敏感，但根據(jù)測(cè)試發(fā)現(xiàn) userId 參數(shù)可以進(jìn)行越權(quán)遍歷 根據(jù) url 判斷這個(gè)請(qǐng)求的意思是根據(jù)用戶(hù) id 查看用戶(hù)的身份， url 中的駝峰方法 ( getRolesByUserId ) 驚醒了我，根據(jù)命名規(guī)則結(jié)構(gòu)我將其修改成 getUserByUserId ，也就是根據(jù)用戶(hù) id 獲取用戶(hù)，也就成為了如下請(qǐng)求包 POST URL: https:/xxx/getUserByUserIdPOSTData: userId

7、=1028 成功返回了敏感信息，并通過(guò)修改 userId 可以越權(quán)獲取其他用戶(hù)的信息 邏輯漏洞 敏感的嗅覺(jué)在測(cè)一個(gè)剛上線的 APP 時(shí)獲得這樣一條請(qǐng)求： POST /mvc/h5/jd/mJSFHttpGWP HTTP/1.1 param=userPin:$Uid$,addressType:0而這個(gè)請(qǐng)求返回的信息較為敏感，返回了個(gè)人的一些物理地址信息 參數(shù)param在這里 是 json 格式的，其中userPin:$Uid$ 引起我注意，敏感的直覺(jué)告訴我這里可以進(jìn)行修改，嘗試將 $Uid$ 修改為其他用戶(hù)的用戶(hù)名、用戶(hù) ID ，成功越權(quán)： 邏輯漏洞 熟能生巧收到一個(gè)項(xiàng)目邀請(qǐng)，全篇就一個(gè) 管理系

8、統(tǒng)。針對(duì)這個(gè)系統(tǒng)做了一些常規(guī)的測(cè)試之后除了發(fā)現(xiàn)一些沒(méi)用的弱口令外 ( 無(wú)法登錄系統(tǒng)的 ) 沒(méi)有了其他收獲。 https:/xxx/?m=index分析這個(gè) 管理系統(tǒng)的 URL:，該 URL 訪問(wèn)解析過(guò)來(lái)的是主 信息。 嘗試對(duì)請(qǐng)求參數(shù) m 的值進(jìn)行Fuzz ， 7K+ 的字典進(jìn)行 Fuzz ，一段時(shí)間之后收獲降臨 獲得了一個(gè)有用的請(qǐng)求 : ?m=view，該請(qǐng)求可以直接未授權(quán)獲取信息 案例 -Delete 邏輯漏洞 Token 限制繞過(guò)在測(cè)業(yè)務(wù)的重置功能，發(fā)送重置請(qǐng)求，郵箱收到一個(gè)重置的鏈接： http:/xxx/forget/pwd?userid=123&token=xxxx這時(shí)候嘗試刪除 t

9、oken 請(qǐng)求參數(shù)，再訪問(wèn)并成功重置了用戶(hù)的： SQLi 輔助 參數(shù)刪除報(bào)錯(cuò)挖掘到一處注入，發(fā)現(xiàn)是 root （ DBA ）權(quán)限： 但這時(shí)候，找不到網(wǎng)站絕對(duì)路徑，尋找網(wǎng)站用戶(hù)交互的請(qǐng)求 http:/xxx/xxxsearch?name=123 ，刪除 name=123 ，網(wǎng)站報(bào)錯(cuò)獲取絕對(duì)路徑： 成功通過(guò) SQLi 漏洞進(jìn)行 GetWebshell字典收集項(xiàng)目推薦注： 以下項(xiàng)目來(lái)自“米斯特安全團(tuán)隊(duì)”成員編寫(xiě)或整理發(fā)布 BurpCollector(BurpSuite 參數(shù)收集插件 ) ： /TEag1e/BurpCollector Fuzz 字典： /TheKingOfDuck/fuzzDicts借助平臺(tái)1. 依靠 Github 收集： /search?q=%22%24_GET%22&type=Code2. 借助 zoomeye 、 fofa 等平臺(tái)收集 總結(jié)核心其實(shí)還是在于漏洞挖掘時(shí)的心細(xì)，一件事情理解透徹之后萬(wàn)