更新啦,更新啦!8月21号晚举行的第十一期「听火」线上会议沙龙高能不断。会议分享嘉宾为:b0b0se3. 、CC11001100 、 L0ading,分别带来的议题为:实战并发漏洞、vip业务权限漏洞和脚本工具分享、奇葩的任意用户登录和如何使用火器快速查 找脆弱资产,参会人员共计18人。
参会人员合影
漏洞分享:实战并发漏洞
分享嘉宾:b0b0se3.
这个漏洞可能会在很多业务场景中出现,比如:关注、邀请好友等,我们可以截取它的数据包,获取到数据包之后进行并发。这样我们就可以办到只需要一次操作便可以完成需要多次操作的需求,例如:我这个漏洞便是要求关注五位博主,关注完毕之后就增加抽奖机会的场景,我通过并发只关注了一位博主便完成了要求。我认为可以并发的漏洞主要是由于数据库没有进行死锁设置。
问:请问师傅并发操作是用的burp吗?
答:对的,burpsuite里面的插件,叫Turbo Intruder
问:师傅有没有在其他业务场景用也挖到并发漏洞的,可以讲讲思路吗?
答:优惠券也可以用到并发,还有一个是点赞可以兑换积分,然后就可以用并发,获取到赞数之后然后去兑换积分就可以造成一个支付漏洞。
答:还比如说:存在一个用户限购的场景,我们可以利用并发,然后绕过后台的条件限制。
漏洞分享:VIP业务权限漏洞
分享嘉宾:CC11001100
现在很多网站都是通过卖VIP会员盈利的,为了让用户更有购买欲望,有的时候会把内容展示一小部分,然后隐藏绝大多部分,让你看完一点还想看就忍不住付钱了。以某考公教育网站为例,在做题的时候对于一些名师点评之类的是收费内容,不开会员的话看不到完整内容,下图是Chrome打开web端的答题页面定位到完整的vip内容的过程,如ppt中的图一。将其复制到fehelper插件格式化观察,通过Ctrl+F用关键字定位到那个字段,可以看到确实是拿到了完整的内容。
除了web端还有Android端和iOS端,来看下其Android端,它的Android端有证书绑定,挂代理抓包就是这个样子(如中间图一所示),根本抓不到包的。过证书绑定有很多种方式,这里采用肉师傅的r0capture,直接通杀证书绑定,在pixel2上启动这个app,然后wifi adb连接查看其包名,接着开始进行抓包,然后在app上去触发查看vip内容的请求,用wireshark打开捕捉到的.pcap包,用wireshark筛选规则只查看响应包,按照大小排序,前几个比较大的选一个复制(因为有题目描述之类的,所以响应体会比较大,大概率是排在前面的),还是用fehelper解码,得到明文的响应体,然后还是使用fehelper将其格式化。
问:APP 8点几过后不是就抓不了吗?
答:可以看看我在火线社区的文章总结:https://zone.huoxian.cn/d/440-app
脚本工具分享:脚本工具分享--host碰撞
分享嘉宾:CC11001100
在前几期时有师傅提到host碰撞的问题,然后这几天我编写了一个小脚本,基本的问题都能解决了。我了解到有些网站当你这样碰撞时,它有时候可能状态码、反馈什么样都有。但是它有一个前提,就是你去碰撞的时候,肯定是拿一个很大的字典去不断尝试,例如:你可能要发1万个请求,那这1万请求中,正常情况下可能只有几十或者几个它不会特别多。由于绝大部分都是长得一样的,很少部分是长得不一样,那么就需要我们通过规则去筛选。通过这个机制一下就能把那些长得不一样给筛出来。然后把这些长得不一样认为是存在的。虽然说不一定是绝对判断正确,但能比较有效的去消除那种误判。简单来说它的原理就是这样的。
漏洞分享:存在任意用户登录漏洞
分享嘉宾:L0ading
这个漏洞比较奇葩,首先访问界面 huo3.huoxian.com ,此页面可以进行任意用户登录(进行登录,输入手机号发送验证码,验证码默认123456),然后成功进入,在点击”个人中心“后跳转到假的登录页面,且网址变为 huo.huoxian.com ,此时手动将域名改为原本的域名 huo3.huoxian.com ,再次发送验证码登录。登录后再次点击”个人中心“,成功进入到个人详情页面......
技巧分享:如何使用火器快速查找脆弱资产
分享嘉宾:L0ading
我的第一个漏洞是在火线平台挖的,所以想跟大家分享一下迄今为止我的使用火器的小技巧。我认为比较脆弱的是一些src的测试环境,因为开发需要进行调试,然后他可能就是会开一些奇葩的功能。就比如说:做的是固定验证码、直接未授权。但一般测试环境不太容易发现,但有的一些src会在准则里标明:有哪些域名就属于测试环境资产。如果这种情况咱们就可以在火器中进行筛选。其次我平时会对与测试环境的域名进行搜集和积累,如ppt上罗列的几个常见的测试环境的域名关键字。还有一点就是:当你拿下的测试环境发现里没有数据,你可以先暂存一下,后面开发人员测试后可能出现数据.......
你以为这就结束了?NO NO NO😎
激烈议题谈论
问:为什么会想到用并发去挖这个业务场景的,可以分享一下吗?
答:首先是要多挖,其次是面对需要分享、转发、关注这样的需要很多次的活动,就可以尝试测试一下并发,可能会有意外之喜。
答:并发漏洞是由于数据库没有进行上锁,一般出现在需要多次的地方。
问:有时候连接同一个wifi会显示网络连接不可用?这种遇到了吗?
答:说下我的思路,抓不到包,还有的是直接在夜神打不开,我一般会尝试把xray挂在我家wifi,然后APP阅览,我就能抓到包。
答:抓不到包的情况在XP框架有个插件可以试试
答:可以试试黄雀
......
工具礼包派送
xposed框架脚本:* Fuzion24/JustTrustMe: An xposed module that disables SSL certificate checking for the purposes of auditing an app with cert pinning
黄鸡防断网模块:https://wwi.lanzoui.com/i4pEQs8m93a
🤞每周六晚19:00,相约腾讯会议的「听火」线上会议沙龙,快来参与进来吧,我们希望能给更多白帽赋能!🤞
