0x00 前言

本文主讲思路,切勿用之违法。

0x01 例一

寻找子公司

我们的目的无非是获得网站数据甚至拿到网站,但是我们已知的网站往往是主站,难以直接攻破。所以我们先收集子公司网站——易于攻破甚至可以接触到主公司。

先查询主公司的股权穿透图,控股权50%以上基本上就是子公司,可以打。

子公司的域名也是二级域名,我们先扫出三级域名——可以使用subfinder。现在我们扫到了OA系统。

弱密码

站点首页主要是一个登录表单。我们优先想到弱密码:

  • 账户名称一般是admin
  • 账户密码直接爆破

但是弱密码也需要一些条件:

  • 弱密码的本质是爆破,爆破需要大量发包,如果网站限制请求数量则弱密码难以进行成功

    • 进行多次错误登录,看看网站是否有限制

  • 如果每次登录需要csrf token,那么爆破难度会上升,但是通过特定操作也能解决。

    • BurpSuite可以进行csrf token追踪

该网站没有限制请求次数和设置csrf token,应该是非常老的系统了,可以直接弱密码——一般使用中国人常用密码字典即可。

爆破成功,以管理员身份登录网站。

寻找

该网站是闭源的,我们只能黑盒。不妨从BurpSuite的历史记录里寻找蛛丝马迹——尽量点击可以访问的地方。

历史记录里有些URL具有GET参数,都试试——后面加个单引号看看报错。

有一个接口真报错了,通过报错信息格式发现是MSSQL类型的数据库。

结合已知情况细加思索,我们希望找到MSSQL的报错注入——先前我们知道了报错是有回显的。