漏洞挖掘_还没开始就结束了？行不行啊！毫无体验感

网络安全学习必看：SRC漏洞挖掘与OSS接管实战全解析（建议收藏）

本文记录了SRC渗透测试实战：从信息收集到发现若依框架网站，尝试shiro反序列化和druid弱口令攻击未果。后通过分析JavaScript文件中的API接口，意外获取OSS访问密钥，成功接管存储大量敏感信息的系统，展示了渗透测试中的思维转变技巧。

前言

好久没有写渗透测试的文章了，因为这段时间工作和其它原因一直没时间，今天就简单水一下某次SRC的思路吧，从信息收集到接管oss半小时时间，国内某制造商，资产不多

本次信息收集采用互联网信息收集(包括不限于：shodan、fofa、hunter、google等)及本地灯塔信息收集，因为时间问题，就简单打点了点资产，端口就选TOP100，没有漏扫

* 故事情节虚拟、文章仅供交流与学习、请勿非法操作，否则后果自负

* 如您认为思路尚可，烦请转发朋友共同学习

漏洞挖掘阶段

信息收集

使用hunter进行打点：domain="example.com"&&web.title!=""(此处去除空标题，个人经验，很多空标题的页面没什么内容，容易浪费时间)

看到检索出39条数据，可以配合灯塔做去重，因为有的域名在线引擎可能会漏掉，只要我们的字典够大，灯塔可能就能有意外收获

漏洞挖掘

访问某设备管理网站，打开后，我心头一惊，这不是我亲爱的若依吗，瞧瞧这UI，这URL

于是乎，二话没说先测试有没有shiro框架，以此达到我心中想要反序列化接管主机的邪恶计划

平常是在登录接口中cookie里面测rememberMe来查看shiro框架，这次竟然没有，还好我装的插件爬到了，在图片验证码处可以获取到，于是乎掏出集成工具开始爆破，奈何命有点苦，就算喝奶茶也苦

看来不得不控制你了啊，我估计是开发配置了随机密钥，或者单独设置了密钥

用swagger-hacker跑了一下全部401，在预料范围内，做鉴权了

接着看到durid，我当时预想的是：弱口令进入druid，在session中看一下有效期内的cookie，进入后台，美滋滋，废话不多说，开干

弱口令没毛病啊，老铁，准备开香槟嗨起来了

但是，等我登进去以后，给我拉了坨大了，直接给我错误了，这对吗

我真的想骂娘，就是一堆的可能存在漏洞的服务在你面前，你又无可奈何的样子

反转来了

这个时候头绪真的一点没有了，因为已知的问题就那些，再看看其它服务吧，不过这个弱口令确实可以交一下，其它服务大部分就是关联到企业微信或者是内部软件之类的，翻来翻去找到一个员工系统

这个时候我来捋一下这个系统的逻辑，以此有一个后面漏洞挖掘的思路：仍然是Java程序，无注册接口、登录需要密码，可爆破，尽管有图片验证码，但是没什么用，短信快捷登录发送后可以快爆破验证码，登录接口可枚举账号，账号格式手机号

有了以上逻辑以后，先枚举一下手机号，考虑到员工在本地的可能性很大，所以先枚举本省的手机号，找到本省的手机号段，用python生成9999个手机号，然后爆破

# 获取用户输入的前7位数
prefix = input("请输入前7位数：")

# 检查前7位数是否为数字
if not prefix.isdigit() or len(prefix) != 7:
print("输入错误，请输入7位数字。")
else:
# 打开文件，准备写入
with open("output.txt", "w") as file:
# 生成11位数
for i in range(1, 10000):
# 将i转换为字符串，并在前面补0，使其长度为4位
suffix = str(i).zfill(4)
# 将前7位数和后4位数组合起来
number = prefix + suffix
# 将生成的11位数写入文件
file.write(number + "\\n")
print("生成完成，结果已保存到output.txt文件中。")

不出意外的：浪费时间加爆破不出来，我就很无语的不爆破了