写在前面

本文是作者入门web安全后的第一次完整的授权渗透测试实战，因为最近在总结自己学习与挖掘到的漏，无意中翻到了这篇渗透测试报告，想当初我的这篇渗透测试报告是被评为优秀渗透测试报告的，故在此重新整了一下，分享一下自己的思路与骚操作给大家。总的来说，就是一些web安全常见漏的挖掘，还有就是逻辑漏里自己发现的一些骚操作。如有不正确之处，敬请大家斧正。

WEB安全

一、XSS

首先，当我们拿到一个网站，最常见的操作就是进入网站的主页，查看网站有没有框框，xss最常见的测试方法就是“见框就插”，果不其然，我们在搜索框一“插”，就“插”出来了，虽然只是一个xss，但是这是我挖到的第一个啊，内心还是有些小激动的。本来框框还可以检查是否存在SQL注入，但是不巧的是，此处并没有。

以下是具体的操作：

1.进入url：

http://www.xxxx.com/?act=search&keyword=%27%22%28%29%3Cacx%3E%3Cscript%3Ealert%28%27xss%27%29%3C%2Fscript%3E

2.位置是在搜索框，这里存在xss

3.写入自己准备好的xss验证的payload：

%27%22%28%29%3Cacx%3E%3Cscript%3Ealert%28%27xss%27%29%3C%2Fscript%3E

4.证明在这里看哦：

与xss有关的，我们就挖掘到这里，下面我们进行下一处的挖掘。

二、弱

接下来，我们来到了用户登录模块，因为如果不进行用户登录的话，我们拥有的操作空间和权限是非常小的，而且登录页面，也是多发的页面，比如弱口令啊、短信轰炸啊、验证码可绕过啊等等，可惜的是在这里，我只验证成功了弱令，具体操作如下：

首先，我们来观察此网站的用户名，巧的是我们发现这个网站的用户名具有一致性，那么我们可以进行什么操作呢，没错，在此处我们可以利用神器burpsuite进行爆破，我们可以枚举网站有注册的用户，这其实也是一个用户名枚举洞，只是我把它和弱口令洞放在一起了，我们当然还可以用枚举出来的用户名，来爆破它们信息，下面是具体操作：

这是我爆破出来的用户名，username=mb12202，password=123456，在这吐槽一句，弱口令洞是一个永远也修复不完的通用洞

我们登陆以后，可以来查看用户的具体信息，可以看到手机号、IP、收货地址、绑定的QQ和微信等等，下面是手机号和IP信息，不过我们是看不到用户手机号的中间的四位数字的，但是这是我们可以进行一定的操作来查看的哦，具体操作请各位看官继续往下面看

下面是收货地址的信息

在这个功能处我们可以进行如下操作：

1、因为我们知道了mb12202的帐号也就是昵称还有，而且这个网站设置的是昵称和手机号都能够用相同的进行登陆，所以我们可以在此处爆破mb12202用户的手机号的中间4位，即可得到完整手机号

得到手机号的中间4位为3829

2、我们之前在用户的个人信息里的收件地址里还看到了另外的一个手机号码，我们在这里猜测，这个手机号也是一个注册用户，然后下一步我们就要开始爆破mb12202用户收件地址里的手机号1722xxxx607的，username=1722xxxx607，password=123456，果不其然，这个电话号码，果然也是一个注册用户，真是踏破铁鞋无觅处，得来全不费功夫啊

与弱口令有关的漏，我们就挖掘到这里，下面我们进行下一处漏的挖掘。

三、url重定向，可进行

既然我们挖掘上一处漏的时候已经掏出了我们的神器burpsuite，那么我们肯定不能把它抛弃，而是继续进行骚操作啊。依稀还记得当初挖到这个漏的时候是非常兴奋的，因为这个漏不容易被发现，所以，我们在漏的挖掘中一定要细，细到不能再细为止。

大体思路如下，首先在存在漏页面进行抓包，放包之后就会进入到如下图所示的请求包里，我们修改请求包里的ap_id参数，第一次放包后是别的数字，请记住一定要修改为378，如果修改成别的数字是没用的，放包后进入到响应包页面，对响应包进行修改，可以插入恶意图片以及链接，放包后，就会出现在网站里，用户点击后就会进行跳转。

下面是具体操作：

1.可插入图片的url：http://www.xxxx.com/index.php本网站有很多，在此仅举一例

2.修改请求包中的ap_id为378