我是如何拿下CNVD漏洞证书的

简介: 我是如何拿下CNVD漏洞证书的

起因


因为疫情的原因,公司已经采用网上订餐配送的方式接近一年了,并且为此购买了一套订餐系统,每天员工自己从平台上下单,然后餐饮公司负责配送,平台长这样。



想针对这个平台做测试已经想很久了,正好最近业务不多,于是趁划水时间对该平台做了一下渗透测试,因为该平台用户量比较多,fofa上搜了一下指纹有400多条,所以便想着去搞一下然后提交到CNVD上混个证书。




过程


前期对该平台先进行了一波目录扫描,看是否能够扫描到备份文件,结果我400w+的目录字典硬是一个都没扫出来。



看到一个目录都没扫出来,心态有点崩,于是先对平台进行了一个信息收集,发现该平台为ASP+Windows架构,服务器IIS版本为8.5,虽然这些信息没多少用处。



然后接下来就是AWVS工程师+XRAY工程师上线,疯狂扫描了一波,看到结果,瞬间感觉有搞头,打开漏洞详情一看,我QNMD。



okok,心态放稳,现在只是对外部页面进行了一波测试,下面我们登陆到后台去进行测试,后台他长这样。



因为是线上系统,不敢用扫描器去暴力扫描,于是开始手工对每个接口进行测试,看了一下各个接口,大多是GET请求,并且参数都是经过编码,对接口进行了SQL注入和越权测试和一些常见的漏洞,均无果,但是直觉告诉我,这个系统肯定有漏洞,只是还没找到,于是我对页面的接口再次仔细的审查了一遍,终于在修改默认食堂处看到了曙光。



该系统提供了一个修改默认食堂功能,可以修改成自己想吃的那个饭堂为你送餐,它长这样。



当我们点击确定的时候,开启抓包,可以看到该请求包提供了一个Group参数作为食堂ID去替换。



正常情况下发包,会提示设置成功并刷新页面。



但是在group参数后面加上 ' ,返回包成功报错,并爆出SQL语句。




哦吼,有搞头,直接将该请求包发送到sqlmap进行一波测试。


60a47aed36be61838eb1d6f3918a066f_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


a70a1eef446ef62e254eefd4b51bce86_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


ok,中午可以加餐了,今天我要吃两个螃蟹。


看了一下还是DBA权限。


ceaa5b5fe4973aafe58b46602244831e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


进行到这里,已经不打算再进行深入了,只要证明漏洞存在,CNVD承认这个漏洞就行,接下来的问题就是我们要去找相同案例3个并成功复现,然后再找10个现网相同的业务。

因为前面已经通过fofa知道现网存在很多相同业务,这边直接通过我写的一款fofa搜索导出工具将目标IP全部导出来。



搜索结果会直接导出到当前目录下的ok.txt文档里。



下面就是针对这些系统进行复现,只要凑够3个就行了,因为刚才找到的SQL注入是需要登录后才能访问到的,所以现在也要登陆到这些系统后台去进行复现截图。

但是有一个问题,我上哪里去弄这些系统的账号?因为我们公司的订餐系统是通过名字全拼与自定义的密码登陆的,比如zhangsan,lisi这些,天真的我以为别人的系统也会是这样的命名规范,于是直接拿出我的10w+名字全拼字典进行爆破。


8ab3ab30a72a3496d3e009aaab3ebd1c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


这套系统登陆页面存在一个用户名枚举漏洞,当输入不存在的用户名,页面会直接返回你输入的用户名不存在。



反之,当输入存在的用户名+错误的密码,就会提示你输入的密码不正确,请注意大小写。



然而,残酷的现实又一次发生在我身上,10w+字典愣是一个也没爆出来,我也陷入了对人生的大思考中,刚点的两个螃蟹已经打算退掉。



但是抱着最后一次尝试的心态,我更换了另外一套常用用户名字典,打算在爆破最后一次就结束,系统不负我,爆破到4000+的时候,终于出来一个返回包不一样的请求,可以看到payload为001。



在系统上测试一下。



确实存在该用户名,但是密码我们不知道啊,接下来采用了密码爆破的方式,但是这次好运不再眷顾我,我的各种密码字典均无果,我又陷入了对人生的大思考中,正当没思路的时候,突然想起当初该系统厂家来我司进行部署的时候,送了一份电子版的使用手册,于是打算通过手册看一下是否存在默认密码之类的,通过手册找了好久,终于在最后一页修改密码处发现以下内容:默认系统密码为000000,请在登录后立即修改默认密码。如有问题请及时联系。



赶紧在目标系统上试了一下,bingo,登陆成功。



接下来就是对其他400多个目标挨个进行爆破,但是手动爆破太慢,于是通过python写了一个脚本,对ok.txt进行遍历,逐个爆破。

吃完我的两个螃蟹,爆破结果也出来了,共有60+网站采用了001,002,003用户名与默认密码,随机挑了3个IP做了漏洞复现。


结果


整理了一下结果,并形成文档上传到CNVD漏洞平台。



CNVD也是很给力,一周就通过了审核。


94febd3b522a1bfdd23f9281a086a356_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


因为是通过公司的CNVD账号提交的,不方便漏出漏洞编号,望各位师傅谅解。



相关文章
|
安全 网络安全 Windows
向日葵RCE复现 | CNVD-2022-10270 CNVD-2022-03672
向日葵是一款免费的集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。 于2022年2月5日和2022年2月15日,CNVD公开上海贝锐信息科技股份有限公司的向日葵远控软件存在远程代码执行漏洞(CNVD-2022-10270/CNVD-2022-03672),影响Windows系统使用的个人版和简约版,攻击者可利用该漏洞获取服务器控制权。
466 0
向日葵RCE复现 | CNVD-2022-10270 CNVD-2022-03672
|
安全 网络安全 Windows
向日葵RCE(CNVD-2022-10270)
向日葵RCE(CNVD-2022-10270)
213 0
|
安全 Shell
赏金猎人系列-如何测试sso相关的漏洞
前言 前面写过一篇有关sso绕过的相关文章:你所不知道的sso绕过tips,而本文主要总结的是sso漏洞相对比较系统的的测试方法,限于篇幅,这里会分为两篇来叙述,今天为第一篇;
375 0
|
XML 安全 Go
赏金猎人系列-如何测试sso相关的漏洞(II)
前言 本文承接前文:赏金猎人系列-如何测试sso相关的漏洞,继续梳理sso漏洞相关的测试方法.
184 0
|
安全 Linux 网络安全
国家信息安全公布:向日葵爆出执行漏洞,还有什么远程工具值得信赖?
国家信息安全公布:向日葵爆出执行漏洞,还有什么远程工具值得信赖?
国家信息安全公布:向日葵爆出执行漏洞,还有什么远程工具值得信赖?
|
安全
RSA公布被攻击内幕:钓鱼邮件惹祸
北京时间4月4日晚间消息,EMC旗下安全部门RSA日前表示,上个月遭遇的黑客入侵事件主要源自一封钓鱼邮件。 EMC上月中旬宣布,旗下安全部门RSA遭遇黑客攻击,目前尚不知晓攻击涉及的范围,但可能令公司防黑客入侵技术的安全性面临危险。
1319 0
|
Web App开发 安全 数据安全/隐私保护
McAfee:黑客借"极光漏洞"获取企业源代码
在周三的RSA 2010大会发言中,McAfee的研究人员表示,以获取企业源代码为目的的网络犯罪正在盛行,而企业对此方面的保护略显不足。 在RSA 2010上,McAfee展示了一个分析报告,关于对Perforce公司(一个做住房产权软件的公司)的调查。
885 0
|
安全 数据安全/隐私保护
黑客组织攻破苹果服务器 已公布部分用户密码
北京时间7月4日消息,据国外媒体报道,黑客组织Anonymous和Lulz Security周日在网站公布了一份文件,声称该文件中包含了来自一台苹果服务器的用户名和密码。 Anonymous和Lulz Security此前联合发起AntiSec(反网络安全,anti-security的缩写)攻击,将目标指向全球银行、政府机构和其它一些企业网站。
864 0
|
安全 Android开发
研究称Android内核存在漏洞 黑客可窃取电邮
北京时间11月1日消息,据国外媒体报道,Coverity通过研究发现,Android智能手机操作系统内核存在漏洞,部分漏洞可以被黑客用来窃取用户的电子邮件和其他敏感信息。 Coverity是在宏达电Droid Incredible手机的Android中发现这些漏洞的,但表示,其他Android手机也可能存在相同的漏洞。
661 0
|
云安全 安全 jenkins
威胁快报|首爆,新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”
简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件。除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐患。 由于攻击者直接复制了Jenkins系列漏洞发现者(Orange.tw)在博客上公布的poc,攻击payload含有"Orange.tw"字样,可能被误认为是漏洞发现者在进行测试,因此我们将木马命名为ImposterMiner(冒充者)。
9261 0