本文由内部学员:YuChen投稿
事情还得从一个群说起,某穿越火线女主播粉丝群
![图片[1]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343184.jpg)
群友发了个钓鱼网站
打开是这样的
![图片[2]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-15843431841.jpg)
信息收集一波
不过这个人好像是批量注册的
![图片[3]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-15843431842.jpg)
![图片[4]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343185.jpg)
看下中间件信息
![图片[5]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343185.png)
IP和端口开放情况
![图片[6]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343186.png)
nmap再扫一扫看看
![图片[7]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343187.jpg)
除了80
5555端口没响应
10010端口403
对10010进行目录扫描 未果
对网站目录扫描:
![图片[8]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343187.jpeg)
看样子是宝塔+Linux
![图片[9]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-15843431871.jpg)
收集完了开搞
登录框想到了注入
![图片[10]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343188.png)
Burp抓包
![图片[11]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343188.jpg)
对post的参数和UA进行fuzz时没什么发现
以前看过钓鱼的源码
想到了钓鱼网站可能会记录ip
尝试XFF头注入
![图片[12]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343189.jpg)
可能有注入 盲注试试
X-Forwarded-For:'and (select 1 from(select(sleep(2)))x)#
![图片[13]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-15843431891.jpg)
保存请求包为a.txt
![图片[14]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-15843431892.jpg)
sqlmap.py -r C:a.txt --batch --level 4
sqlmap.py -r "C:a.txt" --batch--level 4 -D sql_2020sy_gbzp_ -T yunx_admin -C username,password --dump
![图片[15]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343190.jpg)
拿到了用户名,密码
但是找不到后台
所以用XSS盲打试试
在输入账号密码处插入xss payload:
![图片[16]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-15843431901.jpg)
Emmm 插不进去
可能是前端限制 检查一下
![图片[17]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343191.jpg)
发现了ts这个函数
找到js的这个函数 验证了是前端限制的想法
![图片[18]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-15843431911.jpg)
Burp抓包后插入XSS
![图片[19]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343192.jpg)
等待结果。
写脚本看看同ip的其他站点
![图片[20]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-15843431921.jpg)
运行结果
![图片[21]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-15843431922.jpg)
都点开后都是这个样子域名过期的,没有绑定域名的
![图片[22]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343193.jpg)
最后,sqlmap可以获取sql-shell权限
![图片[23]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-15843431931.jpg)
今天才刚刚搭建,已经有21条数据记录了
Emm 我裂开,暂无后续,我太难了。
![图片[24]-记一次对钓鱼网站的XFF头注入(钓鱼网站的网址)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-125710-1584343193.png)
点赞,转发,在看
XFF头注入推荐阅读
https://www.cnblogs.com/soldierback/p/11707035.html
本文作者:HACK_Learn
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/125710.html
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容