社会工程学攻击+业务逻辑权限劫持中学网站后台

发布于 2019-04-11  508 次阅读


昨天晚上做了一个梦,梦到我回到了中学时代,我的中学非常的恶劣,吃不好,睡不好的,还经常打架,我中学大概是从打别人和被打中度过的,所以我非常憎恨这个学校,今天起床之后,阳光还算可以,我个人比较相信玄学的,所以去网上查“梦到回到中学”看一下周公的解释,结果也没查出什么,接着打算再睡一会,躺在床上,看着窗外的阳光,回忆着中学时代的经历,想起了网站,网站!

然后起床,打开百度,进了中学的网站,进行了一场社会工程学

进了网站,发现是一个子域名

A.jpg

渗透子域名肯定没什么用啊,我就对主站进行扫描啊,fuzz啊,啥洞也没挖着,这个时候我看到了密码找回的界面,注册个账号,进行找回,发现是4位数验证码,然后故意输错了好几次,没有报错,大概可以确定是任意用户密码重置漏洞了,没想到这么大的一个站,还有逻辑漏洞,现在只要找到管理员的手机号,就可以重置管理员账号进后台了,然后摸索摸索找到了这样一个界面

B.jpg

就这么光明正大??!,诶,这个站长咋这么熟悉呢,卧槽,这不是我初二的班主任嘛!可惜我不知道电话是多少(重置密码要电话号码的)

这个网站足够的安全,只有一个逻辑漏洞,怎么利用呢,最后还是想到了社工客服

接下来找到一个客服,进行社工后,客服给了我一张图(这里的聊天记录没截图)这里的马赛克是客服打上的,不是我打上的

C.png

想着用burp从001枚举到999,发现每次发送短信都要用图形验证码,然后换了一个客服,接下来是过程

我这里先和他说明事由,刚好是星期一,这里可以以发文章为事由

1_看图王.jpg

这里我就扯之前的管理员离职了,然后直接要电话,然后并不是这么简单,要联系我,可别,我随便扯了一个理由

2.jpg

然后接着往下说,这里“急需”体现出我现在的心情非常着急

3.jpg

密码我肯定不知道啊,然后我又随便扯了一个理由,查到了电话,其实是刚才那个客服给我的,只不过不知道中间的3位数

那个客服打的马赛克也真有技术,打到了8的一半,也就是说我看成3了,这里我把我知道的手机号发过去了,继续体现出很

着急的心理

4.jpg

他还否定了,我当时以为他骗我,不过没骗我,因为我把8看成3了。。

然后我直接放下架子,求他,假装出,似乎我要是不发文章就要被离职

5.jpg

结果客服还是心软了,给了我手机号,社工结束,最后再感谢他一下

6_看图王.jpg

OK,得到手机号,开始利用任意用户密码重置漏洞,burp抓包,然后爆破QQ截图20181029110437_看图王.jpg

返回包与其他不一样的就是验证码了,然后重置

QQ截图20181029110519_看图王.jpg

登录后台看看

QQ截图20181029115146.jpg

很强,本次渗透就到了这里,个人总结经验:当社会工程学与技术结合在一起的时候,没有绝对安全的系统

65554481_p0_master1200.jpg