详细记录一次CNVD原创漏洞证书挖掘过程

margin

原文链接：详细记录一次CNVD原创漏洞证书挖掘过程 (qq.com)

​前言
好早之前的报告了，这里详细描述一下，主要写一下我在挖掘证书的一些小技巧和思路，后续再继续写一篇挖掘CNVD证书筛选目标的文章，最后原谅我的重码。

经过
忘记了当时是挖掘一个什么SRC，反正拿到了一个登录框，熟悉的登录框开局。该登录框是一套通用设备的系统，所以我在CNVD漏洞库搜索该系统是否存在漏洞，一查存在一个弱口令，然后我就拿出了我祖传的弱口令用户字典和密码字典，没跑进去。然后我接着利用fofa搜索同类站点继续跑，跑了几个我有点怀疑是否存在弱口令了。为了准确的猜测该系统的口令和密码，我利用爱企查查询了该公司的其他资产，这里利用了一个思路是该公司开发了这套系统，那么该公司可能还会开发其他的系统，而两套系统的账号和口令很有可能是相同的，就这样我找到了另外一个登录框。

​

编辑
经过测试利用弱口令进入了该系统，这样我知道这套系统的弱口令，这样你就可以拿该弱口令测试你要测试的系统，很遗憾没有登录成功，但是经过其他的同类站点，发现确实是存在该口令的，只不过我们要测试的站点的口令被修改了。后面由于漏洞利用面太少，所以放弃该套系统的漏洞挖掘。经过爱企查发现该公司，注册资产满足了5000万，那么只需要满足挖掘一个中危漏洞出来就可以获取证书了。虽然在挖掘过几张CNVD证书之后，已经没有了最初挖掘的激情了，这种低质量的漏洞挖掘对自己的技术也没有多大的提升，但是账号和口令都知道了，又没忍住，所以就浅挖了一会。

大家都知道，前台相对后台相比功能较少，所以漏洞利用面有限，而你只是想刷一张证书的话，你完全可以利用我这个思路，你拿到一套系统，前台你可以浅测一下，主要可以测试一下该系统的口令，如果测试出来弱口令的话，就可以在后台深入挖掘一下，没测试出来，就可以换套系统去挖掘了，而且后台的代码防护措施也会相对弱一点。

命令执行
由于我们前面拿到了口令，并且同类系统也大多存在弱口令，进入后台

​

编辑
发现存在一个网络检测功能

​

编辑
这不就感觉到命令执行在向你招手吗，首先我测试了一下127.0.0.1，但是发现不能用该地址检测，但是又不通外网，所以需要知道内网一个IP，在后台翻来翻去，找到了内网的地址。

​

​

编辑
​
测试可以ping通，那么抓下包
​

​

编辑
​

发现destination参数，然后利用如下包

​

编辑
这命令执行是不是就到手了，这不就是DVWA的初级难度吗

任意文件下载
之前由于是在一个系统测试的，然后写报告忘记了之前打的时候是哪一个系统，另外一个系统同样的地方不存在文件，所以下在不了，但是自己记录了接口的url，自己比较懒，就没有去寻找是那一个系统了。首先还是在后台翻翻，翻到一个文件下载的地方，这里没图了，师傅们自己脑补一下。点击抓包发现如下的接口

1. https://xxx.xxx.xxx.xxx:xxxx/fileServlet?action=downloadDbBackupFile&userToken=xxxxxxxx&fileName=文件位置

复制代码

然后利用如下

​

编辑
由于知道文件下载的接口，其他系统虽然不存在文件，但是我们可以通过抓取token，替换token让后访问该接口，进行利用即可。

存储xss
系统存在添加用户功能

​

编辑
抓包

​

编辑
触发弹窗

​

编辑

当然存储XSS由于是后台打进去的，没有权限的跨越，且需要高强度认证，所以CNVD是不收录的，这里只是记录下当时的挖掘过程。

END
除去存储xss，两个有效漏洞，提交两份报告，然后坐等证书（满足注册资本大于等于5000万和漏洞等级大于等于中危）。整个挖掘过程就是一个妥妥的DVWA且还是LOW等级的，这里主要还是讲解一下想要刷一个证书的思路，后续再详细写一篇筛选目标和其他的挖掘方法。
​