Dizcus Pentest

概述

某次看大佬们聊天时聊到某个站,于是赶紧上去看看。

过程

看看下这个站,并没找到什么能getshell的办法,好气啊。只能想想其他思路了。偶然发现可以查看其他人的个人资料以及交的会员费等详情。
于是搞了个python脚本爬了下所有交了会员费的用户。

pentest270404-1

发现用户登录的地方没有验证码限制,但是有登陆错误次数限制。

pentest270404-2

可以确定这个网站用户登录的地方的登陆限制是通过IP用户名一起的,意思是同一个ip或者同一个用户只能错误登陆5次,之后便锁定了。

IP可以用X-Forwarded-For绕过,但是用户名没办法。

pentest270404-3

既然这样的话,那就试下用户名和密码一样的吧,看看这样能不能得到一些信息。

由于之前爬下来的账户显示的是昵称,假如没有昵称就显示用户名,这里刚好可以利用这点进行BurpSuite爆破。

pentest270404-4

OK,发现还是得到了一些用户的信息,试了下,可以登录,发现还不少。

pentest270404-5

当然,登陆之后还能看到用户邮箱的一些信息,进行了一下社工,部分账号可以登录12306等网站。

后来发现这种方式可以针对大部分的dizcus进行利用。

总结

技术还是有所欠缺,还是得继续学习。