No.0前言隐雾师傅天天群里催着大家分享，大佬们都忙着挖洞，只有我先来抛砖引玉了，分享几个自己的挖洞案例，希望这次师傅能把码打全一点。No.1key复用验证码登录这里的思路有哪些？短信轰炸，验证码复用。。这些都不行怎么办，我们来先测试正常登录正常测试功能的的时候，有办法能成功一定要先试试成功是什么样子的这样在测试过后才能进一步的从他业务的层面来进行判断先拿自己手机正常登录抓到后，我们看返回包code：1011这个代表着成功，你也可以理解成为网页的200响应码把这1011发送给前端，就知道这是成功登录了，可以放他进来了sms_code_key这个代表钥匙，进门要拿钥匙开门，这个也一样我们再从这里随便输入手机号和验证码这里需要填符合前端检查的手机号和六位验证码看输入瞎写的返回包是什么样的code错了

点击蓝字，立即关注前言cnvd的挖掘，说难也不难，说简单又很多小伙伴苦恼怎么入手一般来说，看到别的师傅kuku挖证书，证书堆成山，然后很多人就兴冲冲的想去实战，上手准备拿一张属于自己的cnvd证书，刚上手就苦于找不到目标，没有思路，这里就分享下最近一次的cnvd挖掘过程，希望对小伙伴们有帮助言归正传主要的思路有很多，有白盒和黑盒，白盒就不多说了，可以找开源的系统审计，但是对代码功底有一定的要求，黑盒比如可以通过某企查，某眼查来筛选资产符合5000万，并且有软件著作权的目标有目标公司之后再配合fofa等工具找对应软件或者系统，常见的xxx技术支持啊，或者js特征，又或者相关logo来进一步筛查另外就是直接用fofa等平台搜"管理系统"、"登录系统"、"某某平台"等但是这样目标太广泛，无异于大海捞针，效率比较慢，其实可以通过捡漏减少工作量，比如直接去官网搜弱口令，sql等有了目标再去查归属，看注册资金，像这种弱口令，是有概率可以通过没改密码的系统去进行二次挖掘的，起码工作量会减少些还有就是提交漏洞这里也可以搜厂商然后搜影响产品，这里能出现的系统一般都是经常出漏洞的，也比较容易出货举个栗子这个系统是运气好在厂商搜索处直接找到的，系统也是以前出过洞的系统，这边做一个二次挖掘注册资金也是满足要求再看看资产数量，上鹰图！开干！看到网上有这个系统的弱口令，但是一番爆破无果后看向了js

Gaobai文库专注于网络安全威胁情报，最新的威胁资讯预警，安全漏洞威胁分析，涵盖渗透测试，安全服务等。曾就职于某大型安全厂商攻防实验室，专注于新型实战化攻防对抗技术研究。昊天信安致力于分享渗透实战、红蓝工具、漏洞复现、代码审计、应急响应等技术及工具。CKCsec安全研究院专注于网络安全的公众号，分享最新的Red

点击蓝字，立即关注在某次攻防当中发现的，记录一下访问供应商官网发现是个登录框尝试登录，发现前端会直接回显用户是否存在根据这一特点，利用burpsuite爆破用户名筛选长度，找到可登录的用户：回显中存在两种情况：一种是认证身份不存在但是用户存在另一种是用户存在且可登录这边就使用账号

使用者应自行承担因传播、利用本公众号NGC660安全实验室提供的信息而导致的任何直接或间接后果及损失。公众号NGC600安全实验室及作者不对此负责。如有侵权，请告知，我们将立即删除并致歉。谢谢！

点击蓝字，关注我们点击蓝字，关注我们一个基于✨HOOK机制的微信机器人，支持🌱安全新闻定时推送【FreeBuf，先知，安全客，奇安信攻防社区】，👯后缀名查询，⚡备案查询，⚡手机号归属地查询，⚡WHOIS信息查询，🎉星座查询，⚡天气查询，🌱摸鱼日历⚡微步威胁情报查询，

点击蓝字，关注我们在这两天的攻防中也是运气爆棚，碰到了两个aksk泄露的案例公号也好久没更新了，拿出来分享一下1.先看第一个，是在js文件中泄露的在打点的过程，网站的流量走向bp，然后，bp被动过滤出accesskey这个关键字再去查看是否加密了，如果没加密的话就属于直接捡漏了然后就直接用工具梭哈了，虽然后台会有告警，但谁让脚本小子啥也不怕使用cf和oss浏览器直接连接：然后发现只有存储桶的权限有三个大桶子简单看了一下东西还挺多随便打开几个可以看到是内部的保险单和审批单还有项目设计图等敏感文件2.第二个，是在一个spring

点击蓝字，关注我们Github项目：https://github.com/Anyyy111/killEscaper声明：本工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担。介绍

点击蓝字关注我们三月底拿swagger未授权水了几天的cnvd，期间遇到过一个比较经典的网站，拿出啦当作典型进行分享一个监测预警平台的api接口文档（其实能访问到这个页面就已经可以提交cnvd水分了但是想深入利用下去，所以翻看各api文档其中一个api可以获得全体用户信息这个接口可获得其他数据如超级管理员账号信息与cookie有了cookie其实就可以去登录后台了，不过一时间没有找到后台位置先继续向下翻看发现几个摄像头的RTMP地址，可以利用一些rtmp工具去获取摄像头其中一个接口泄露了账号与加密后的密码丢去md5解密一下可知密码为123456翻看完全部文档大致获得以上这些有用信息那要怎么找后台呢？我这里是利用了鹰图的功能，利用鹰图搜索该域名，而后点击其ip选择ip详情，即可查看该ip各端口信息，其中在8888端口发现了后台低权限用户高权限用户可惜的是该网站没有上传点，后续的getshell测试分析了半天也没成果提交cnvd也暂不收录，此次测试就到此为止了往期回顾看我如何利用熊猫头插件拿下局长..记一次度某满SRC挖掘之曲线救国HTB

点击蓝字关注我们原本宁静的礼拜六突然收到甲方爸爸的来信甲方爸爸：云工，这个站你给测一下我：好的爹话不多说，即可开始渗透，毕竟这是甲方爸爸老规矩，开局一个登录框，中途漏洞全靠舔！让我们来看看这个登录框有什么魅力发现有注册，还有忘记密码的功能，先看一下注册框发现需要这么一些东西，短信都不用校验，其它的谷歌上面找就完了，注册一个账号来看看发现注册之后是这玩意，这里我们看到一个点，发现我们的企业名，也就是用户名，被输出在页面上了，所以我们还可以在注册一个账户试试弹窗，这里我注册一下账号名写这玩意console.log(1),登录一下看看这玩意是在控制台输出，因为这是正常业务，不能用alert弹窗测试进入此处页面乱码，同时控制台输出1，证明漏洞存在区区这种危害还不足以舔到甲方爸爸，还要接着挖。使用熊猫头插件找到路径地址，放到burp里面进行跑包终于跑到这个地址看到了结果/jdgl/app/gzt/gzt_index.jsp未授权一枚，为了看看是不是真的未授权，访问其它地方看看不得了，直接给局长打个电话往期回顾#HTB

点击蓝字，关注我们首先提一嘴，这个漏洞已经是修复了，如果大家碰到像这种类型的，可以试试我这种方法在一个夜黑风高的夜晚，打开了度某满分站，准备搞几个钱老规矩，开局一个登陆框。看到账号和密码就想爆破，这里我试了一下，发现加密了不要慌，账号密码加密了而已。我们直接放弃即可！换个功能点进行，这里发现还有个注册点，打开看看咯可以注册，还有短信验证，那么就可以试试短信轰炸了，我这里试一试非常好，被BAN掉了，看来做了校验，不要慌，先看看验证码是多少位哎呦，是4位的，可以尝试下爆破，不过参数仍然是加密的。。怎么办？不要慌，先试一试有没有提交次数校验，先给它100个包跑一下看看会不会限制手动给重放了100个包，发现它不会检测你提交了多少次，只要你输入对了，那就完事了。那么我们接下来咋办，那当然可以尝试一下JS逆向了先用F12大法查看JS调用栈看到这么多调用函数，那么就有不懂事的金针菇要问了，我要看哪个？这里我告诉你，一个一个点进去看当然不是一个一个点进去看，而是点进去一个一个搜索关键词，比如说我们定位密码的传参值复制这玩意去源码里面搜索就完事了终于在我们的不懈努力下，找到了这部分源码，我们贴出来简单解释一下。截图错了，应该是这玩意下面我贴出来给不懂事的金针菇们分析一下handleSubmit:

/usr/local/lib/python3.8/dist-packages/ansible_parallel-2021.1.22.dist-info/entry_points.txt

织梦官网：https://www.dedecms.com/download受影响的版本

0x00在云云的压迫、剥削下写了这篇文章，主要讲讲这几个月以来在项目上或是课余时间里挖掘到的一些漏洞，其中有一部分是0day（已通知相关厂商）0x01

年终于快要过完了，这段时间忙着过年，也没有学习一些新技术，但是有个好处就是有空闲时间来干自己想干的的事情。于是乎准备挖挖edusrc。上次在edusrc交洞还是几个月前的事情了，这次回来发现礼品中心上架了某江大学漏洞报送证书甚是好看，于是就决定挖它了，最终也是在过年期间顺利的挖到了某江大学和某职业技术学院的漏洞，并兑换了证书.下面就讲讲这两个证书站挖掘思路。由于挖到的漏洞都是一些很基础的没什么讲头，我将重点放到了信息搜集阶段，是如何在证书站被很多白帽子师傅摸了无数次的情况下找到漏洞的。首先就是老生长谈的子域名搜集，这一块一定要做好。记得我在刚接触挖洞时，对着学校的主站一顿操作，当然最后也是无果而终。这里我推荐的工具是oneforall，师傅们下载完成之后把各种各样的配置比如fofa的api等等都添加上，然后就可以愉快的开始搜集子域名啦。经过我的测试，oneforall搜集到的子域名还是挺全的，搜集到的某江大学资产都快2000条了，既然有了这么多的资产，我们还愁挖不到漏洞吗？下一步就到了url探测存活，既然我们拿到了这么多的资产，总不可能一个一个自己手动测存活吧。很多师傅推荐的是httpx，但是我发现有一款叫finger的工具也很不错，不但能够测试url存放而且能够识别重点资产比如由shiro框架，thinkphp框架开发的网站。但是oneforall默认的文件导出方式是csv，这里只需要简单的写个python脚本进行转换为txt文件，然后将文件丢到finger中等待它跑完即可。最终探测到存活的资产在1000条左右，并且已经区分出了一些重点资产。对于这些重点资产，一般情况下是我们需要花费大量时间精力进行测试的，但是很多情况下这些站点基本都被师傅们摸了又摸，能够用nday打的已经寥寥无几，这个时候我们转换思路，既然有1000多条资产，那为什么不从一些小站偏站入手。由于工具已经帮我们跑出来资产的title，这个时候我们就需要关注一些比如title叫某江大学大学生创新创业系统啊，某江大学车辆管理报备系统等等之类的资产。这种站点出洞的概率往往比某江大学教务站登录系统这样的资产出洞的概率大一些。最终我们也是找到一个名为某江大学校友平台的资产，点击页面的活动一栏，发现url变化。直接丢到sqlmap中发现存在注入。写好报告提交至edusrc，给了4rank，一张证书到手。由于是以拿到漏洞报送证书为目的，某江大学的其余资产我还没有认真的测试过，但是据我估计存在漏洞的站点不在少数，想拿证书的师傅们可以冲。另一个某职业技术学院的漏洞挖掘更加的困难，由于测试的师傅太多或者不知道啥原因，这个学校居然给大部分站点关掉了，但是这能难到我们嘛？在这种测试目标很少的情况下，在信息搜集特别是子域名搜集阶段，不能单一的依靠oneforall一个工具，在搜集过程中，通过不同的工具对其子域名进行扫描，然后统计结果写python脚本进行对比去重等等，最终只得到了可怜的不到一百条资产。但是有总比没有强，后续的阶段和上文中提到的一样，不过这次我先从重点资产下手，果不其然早已经被大师傅们摸过了。难道这个学校的漏洞报送证书就与我无缘了吗，没想到山重水复疑无路，柳暗花明又一村，在寥寥可数的资产中，我居然看到一个title叫实验室生命演化研究中心的站点，有一说一，这网站名字起的让我感觉就有漏洞，于是乎测它。首先是对站点进行目录扫描，没想到扫出来一个phpmyadmin，此时我已经看到证书在向我招手了，果断访问，来到熟悉的界面。先是尝试弱口令登录失败，正准备去谷歌搜索phpmyadmin历史漏洞，没想到随手尝试空密码登录居然进去了？？？本来还想着能不能试试sql写马上去但是害怕动静太大管理员又给关站了，赶紧写报告提交跑路，很幸运的是在通过审核之前没有关站(现在关了)，给了3rank。其实这两个证书站的漏洞挖掘都没有费太大的功夫甚至可以说是有手就行，但是为什么很多师傅在测试的时候没有发现，其实还是信息搜集的问题，某职业技术学院的漏洞站我用了好几种子域名爆破工具都没有扫描出来，最后还是通过某个在线子域名搜集平台找到的。我想这个漏洞站迟迟没有被发现的原因就是好多师傅对于学校信息搜集做的不全面，漏掉了很多的资产。当然我提供的这种思路也只是本人喜欢的一种，师傅们可以结合不同的工具，创造出更多更骚的思路，比如我最近看到绿帽子安全团队的辛巴大佬关于httpx扫描url并探测漏洞的文章就很有启发。附上两个学校的证书兑换记录(可惜都没有发货)。最后祝师傅们新年快乐！！！！这是团队师傅的公众号，大家可以关注一下，会不定期分享各种挖洞姿势！免责声明由于传播、利用本公众号NGC660安全实验室所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号NGC600安全实验室及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！