一直很喜欢驴妈妈,这次提交漏洞算是通过整理和收集过往的漏洞信息,通过分析引起的一个蝴蝶效应,没用到什么高大上的技术,主要是不断的调整思路,逐个突破。
过往漏洞中有用的信息:
通过信息收集到的用户名,进行碰撞得到下面这些可以登录的用户:
在EKP系统中能够获取到很多企业内部平时的信息,并且在EKP中还有一个提供给员工交流的论坛。经过测试发现BBS存在XSS漏洞,为了不影响系统正常运行仅仅测试了就把XSSCODE删除了。
然后对内部资料进行一个简单的信息收集,发现了企业内部邮件系统更换的重要通知。
整理下收集到的信息,邮箱在更换后密码的默认重置规则都是统一的,那么我们就可以通过之前收集的邮箱进行一个碰撞。
规则:
经过碰撞,进一步控制了一部分邮箱。其中有客服部、产品部、公关部等等。
通过邮件发现关于OA系统的邮件,用户名为员工的姓名,密码为111111。
这里的思路也是撞库,因为之前通过搜索引擎和EKP系统中的论坛中收集到了很多员工姓名,一个脚本就可以处理好这些搜集来的员工姓名。
这里撞库需要注意的是我们需要对碰撞的字典中的用户姓名都进行URL编码再去碰撞,于是又进一步控制一部分员工的OA账号。
到这里可能按照以往的思路都是找VPN,但是在翻查资料的过程中并没有发现。又观察了驴妈妈一段时间,发现驴妈妈的DZ论坛估计是个突破口。按照前辈的思路是收集管理员账号,经过搜索引擎整理了论坛的管理员账号。
管理员:
当时想了很久应该怎么获取这些管理员的密码,如果单纯撞库好像不行了,因为主站限制了频率,某些分站之前漏洞也修复了加了验证码。于是思考了一下,发现在整理的资料里发现驴妈妈是景域下的一家公司,并且还有另一家帐篷客也是景域的。而最关键的帐篷客是通过驴妈妈的账号登录,并且帐篷客在登录方面安全性低很多。
撞库突破口:
大致的思路就是这样,在这段时间还发现了一些其他的问题。接下来的事情就比较简单了,只是时间的问题。
短信轰炸接口:
可能你会问我这漏洞有什么用?在整个过程中,是打算测试用户找回密码那块的,如果只是单纯的测试找回功能可能会让用户有所察觉,所以考虑在测试找回密码的过程中配合这个漏洞发恶意的验证码,将找回密码的短信埋没掉。后来觉得这样欠妥就没配合这个漏洞利用了!
注入漏洞:
测试结果:
本来想通过注入漏洞来获取用户密码的信息的,后来发现这样的工作量太大了。而且这个注入漏洞好像并不能爆出数据就搁在一边了。
XSS漏洞(过了<script和</script>等等):
XSS在整个思路里主要是考虑打管理员cookie,但是在整个过程中发现并不能很好的与管理员联系上,一般的用户cookie并不在这次测试的目的中,如果需要的话,只要混进驴妈妈粉丝群里发一个链接就可以了。
