一次阿里云“云建站”网站的渗透

2019年末有幸去北京驻场3个月,期间给了我一种安服狗得不到的快乐。

3个月搞了很多站,也搞下了几个单位的内网,这次就发一个普通的出来分享。

目标就一个简单的门户,扫描目录得到/admin,通过/admin里的文档,得到/admin/siteadmin/index

其中/admin就是为前台登录,可注册自己的账户和登录,进去后就一个下载功能,没法利用

/admin/siteadmin/index就不一样了,直接跳到总后台,标题写着云梦网络,域名变成了云梦网络的域名,后面跟着一个这样的地址2209*****.wezhan.cn

再一查,发现云梦网络就是阿里云云建站,阿里云把整个服务外包给了云梦网络来做。

猜测大概就是那种统一的后台,根据不同的账户管理不同网站的内容。如果我拿到了统一后台的漏洞,就可以直接管理目标站。于是我注册了一个云梦网络的账号。

运气不错的找到了3个漏洞,可利用的有2个

  • 找回密码的短信验证码可以爆破,4位30分钟有效期。
  • 公司用户信息越权查询
  • 越权添加账户到指定公司

有了密码重置,基本上就可以任意进指定的站点后台了,现在只差一个登录的手机号。

虽然有越权查询,但是… ID真的太多了,我跑了整整一晚上才跑出来。

最后发现还是客服好用,以忘记手机号为由要到了目标站的管理员手机号。

拿到手机号以后就可以直接重置管理员密码了,为了不被发现,我选择定了一个凌晨3点钟的闹钟。

最后就进去了,算了成功拿下目标

发表评论

电子邮件地址不会被公开。 必填项已用*标注