你最想听的议题:
2022年的第一场内部分享会于1月9日21:30结束,议题十分硬核,我猜测下面的议题总有一个你会喜欢......
特别邀请嘉宾及议题:
0x7b:现代SRC中的SQL注入挖掘技巧
chensem:突破抽奖活动限制,无限制刷奖品;解密绕过后端校验,修改实名信息
UzJu:0day首次公开
( ✪ ω ✪ )议题是不是很心动?准备好了没,我们要发车啦!
我来大爆料:
现代SRC中的SQL注入挖掘技巧
0x7b:今天主要分享的是:如何去发现注入点,个人认为我们在挖掘SRC中,最主要的问题是难以发现注入点,以及不知道注入的形式,从而判定不存在SQL注入漏洞。首先向大家分享一个实战例子。我曾遇到一个站,当我访问它IP时会自动重定向到XX.login.asp,会显示一个 it works 的页面,完全就没有任何内容。接着我首先去尝试了爆破目录,突然发现了一个apache的server list页面,其中由很多的SOAP service,我们便可以根据这些WSDL文档去构造一些请求接口的数据包,对其接口进行测试......
📌大师傅有话说
📌大师傅的安利好物
1、BurpSuite插件Wsdler解析WSDL文档。
2、日积月累的注入点测试payload。
==
=
' --
' #
' –
'--
'/*
" --
" #
" –
"--
"/*
'
"
)
%
'-- -
"-- -
)-- -
......只放出一部分哈
突破抽奖活动限制,无限制刷奖品
chensem:这个抽奖机制是:有一个抽奖转盘,需要进行实名认证等一些列信息录入操作后才可以参与。初步测试时,发现会根据请求包中的 ”sourceId” 返回相应的报文,返回包中会有一个”wgId“的字段(代表领奖的id)和”amount“字段(代表数量)。接着我通过分析JS代码,拿到了领取奖励的接口,则直接绕过了需要实名认证的限制,构造好了参数,发现成功领取奖品,继续测试发现没有对领奖的次数做限制,即可以进行无限制领奖。
解密绕过后端校验,修改实名信息
chensem:这个案例涉及到客户端的加密,它比较有意思。因为客户端加密的话,需要去分析这个二进制文件,然后找到它的一些加密加解密算法。这个案例是修改用户信息的一个接口,仔细观察该接口发现:identityNo字段代表身份证帐号。常见的流程是将身份证图片上传,接着传到后端去解析,最后去认证个人的身份证帐号,但是肯定是不能修改这个实名过后的身份证的信息的。但是案例中他把这个账号的数字传到了数据包中,我便尝试修改,把它修改成随意的一串身份证帐号。但其实上述数据是有进行加密的,需要将构造参数去加密形成新的报文。然后发现返回成功,最后查询该用户的身份证信息发现已经被修改成了00000000000000......
0day首次公开
UzJu:我这个是前段时间发现的一个越权漏洞,然后通过仔细审计代码,发现了问题代码,然后申请了CVE,这是github上的一个开源项目,开发语言用的是go,师傅们可以自行下载去尝试复现一下......
(っ °Д °😉っ此处略去一万字,详细内容请参考师傅亲手发的文章:
https://zone.huoxian.cn/d/828-gin-vue-admin-cve-2022-21660
精彩还在持续
上一期的硬核沙龙如果还有师傅没有赶上的话
可以关注我们 (☞゚ヮ゚)☞ 1月22日19:00 第二十一期听火沙龙--RedWorld 101 ☜(゚ヮ゚☜)
我的将会在bilibili和视频号同步直播噢
赶紧扫码,说出进群暗号:“21期听火“,进群探讨吧!
