众测环境下被忽视的“水洞”攻击面
字数 1475 2025-11-03 12:23:13

众测环境下“水洞”攻击面挖掘教学文档

1. 概述

“水洞”攻击面指在众测环境中容易被忽略但具有一定价值的漏洞类型。这类漏洞通常技术门槛较低,但往往因为测试时间短、竞争激烈而被忽视。本教学文档将系统介绍几种典型的“水洞”攻击面挖掘方法。

2. CSV注入漏洞

2.1 漏洞原理

CSV注入漏洞利用Excel等表格处理软件对公式解析的特性,当用户打开恶意构造的CSV文件时,可能触发命令执行。

2.2 攻击条件

  1. 存在支持文本输入的功能点(如信息统计、日志导出等)
  2. 支持将输入的文本信息以表格形式导出

2.3 攻击步骤

  1. 在文本输入处插入Payload: 
    =1+cmd|'/C calc'!A0
  2. 导出为CSV格式文件
  3. 使用Microsoft Excel打开导出的CSV文件

2.4 绕过技巧

  • 使用运算符(+-)或分号绕过过滤
  • 在老版本Office(如Office 2016)中,默认启用公式执行功能

2.5 防护建议

  • 对用户输入进行严格过滤
  • 导出文件时对特殊字符进行转义

3. 意见反馈越权漏洞

3.1 漏洞场景

常见于小程序等平台的反馈功能,通常与文件上传功能结合。

3.2 攻击方法

  1. 发现反馈功能中手机号等字段固定不可修改
  2. 使用Burp Suite等工具拦截请求
  3. 修改请求参数,替换为他人手机号
  4. 实现以他人身份提交反馈

3.3 漏洞利用

  • 结合文件上传功能可进一步利用
  • 可能衍生出XSS或存储桶相关漏洞

4. 递归Fuzz未授权访问

4.1 攻击流程

  1. 开局发现登录框,通过插件发现泄露接口(如/sap/bc/ui2/flp
  2. 对接口进行递归Fuzz测试: 
    https://xxxxx/sap/bc/ui2/flp
https://xxxxx/sap/admin/public/default.html
  3. 使用参数字典Fuzz HTML文件:
    • 发现index.html可未授权访问
    • 对比header.html需要鉴权

4.2 关键要点

  • 使用高质量字典进行目录爆破
  • 关注302重定向响应
  • 重点测试默认文件(如default.html、index.html)

5. 并发业务量操纵

5.1 漏洞场景

点赞、分享、转发等存在数值统计的功能点。

5.2 攻击方法

  1. 抓取点赞/分享数据包
  2. 使用Yakit或Burp Suite并发重放
  3. 观察数值是否异常增加

5.3 测试要点

  • 关注APP、Web、小程序中的社交功能
  • 验证业务逻辑是否限制单用户操作次数
  • 测试并发请求是否导致数值异常

6. VUE插件未授权访问

6.1 工具准备

使用VueCrack等专门针对Vue框架的测试插件。

6.2 重点测试页面

  1. 文件上传页面(可能衍生存储型XSS)
  2. 大屏驾驶舱页面

6.3 测试方法

  1. 安装VueCrack插件
  2. 扫描Vue应用页面
  3. 测试未授权访问接口
  4. 验证功能点是否可调用

7. 服务号资产发现

7.1 信息收集方法

  1. 通过公司名搜索公众号/服务号
  2. 关注跳转链接中的新域名
  3. 对比测绘工具结果,发现遗漏资产

7.2 攻击面扩展

  1. 发现跳转链接: 
    https://xxx.xxxxx.com/htlcommunity/usercenter
  2. 测试新业务功能点
  3. 重点检测越权和文件上传漏洞

8. 总结与建议

8.1 测试要点总结

  • 关注容易被忽略的功能点(如反馈、导出功能)
  • 善用Fuzz测试发现隐藏接口
  • 重视并发业务逻辑漏洞
  • 扩展资产发现范围(公众号、服务号等)

8.2 工具推荐

  • Burp Suite:数据包拦截和重放
  • Yakit:并发测试
  • VueCrack:Vue应用未授权测试
  • 自定义字典:目录和参数Fuzz

8.3 注意事项

  • 众测中“水洞”漏洞赏金通常为50-300元
  • 漏洞验收标准由厂商决定
  • 技术难度不等于漏洞价值
  • 需要夯实基础,勤于思考

通过系统性地应用上述方法,可以在众测环境中有效发现容易被忽略的“水洞”攻击面,提高测试效率和质量。

众测环境下“水洞”攻击面挖掘教学文档 1. 概述 “水洞”攻击面指在众测环境中容易被忽略但具有一定价值的漏洞类型。这类漏洞通常技术门槛较低,但往往因为测试时间短、竞争激烈而被忽视。本教学文档将系统介绍几种典型的“水洞”攻击面挖掘方法。 2. CSV注入漏洞 2.1 漏洞原理 CSV注入漏洞利用Excel等表格处理软件对公式解析的特性,当用户打开恶意构造的CSV文件时,可能触发命令执行。 2.2 攻击条件 存在支持文本输入的功能点(如信息统计、日志导出等) 支持将输入的文本信息以表格形式导出 2.3 攻击步骤 在文本输入处插入Payload: 导出为CSV格式文件 使用Microsoft Excel打开导出的CSV文件 2.4 绕过技巧 使用运算符( + 、 - )或分号绕过过滤 在老版本Office(如Office 2016)中,默认启用公式执行功能 2.5 防护建议 对用户输入进行严格过滤 导出文件时对特殊字符进行转义 3. 意见反馈越权漏洞 3.1 漏洞场景 常见于小程序等平台的反馈功能,通常与文件上传功能结合。 3.2 攻击方法 发现反馈功能中手机号等字段固定不可修改 使用Burp Suite等工具拦截请求 修改请求参数,替换为他人手机号 实现以他人身份提交反馈 3.3 漏洞利用 结合文件上传功能可进一步利用 可能衍生出XSS或存储桶相关漏洞 4. 递归Fuzz未授权访问 4.1 攻击流程 开局发现登录框,通过插件发现泄露接口(如 /sap/bc/ui2/flp ) 对接口进行递归Fuzz测试: 使用参数字典Fuzz HTML文件: 发现 index.html 可未授权访问 对比 header.html 需要鉴权 4.2 关键要点 使用高质量字典进行目录爆破 关注302重定向响应 重点测试默认文件(如default.html、index.html) 5. 并发业务量操纵 5.1 漏洞场景 点赞、分享、转发等存在数值统计的功能点。 5.2 攻击方法 抓取点赞/分享数据包 使用Yakit或Burp Suite并发重放 观察数值是否异常增加 5.3 测试要点 关注APP、Web、小程序中的社交功能 验证业务逻辑是否限制单用户操作次数 测试并发请求是否导致数值异常 6. VUE插件未授权访问 6.1 工具准备 使用VueCrack等专门针对Vue框架的测试插件。 6.2 重点测试页面 文件上传页面(可能衍生存储型XSS) 大屏驾驶舱页面 6.3 测试方法 安装VueCrack插件 扫描Vue应用页面 测试未授权访问接口 验证功能点是否可调用 7. 服务号资产发现 7.1 信息收集方法 通过公司名搜索公众号/服务号 关注跳转链接中的新域名 对比测绘工具结果,发现遗漏资产 7.2 攻击面扩展 发现跳转链接: 测试新业务功能点 重点检测越权和文件上传漏洞 8. 总结与建议 8.1 测试要点总结 关注容易被忽略的功能点(如反馈、导出功能) 善用Fuzz测试发现隐藏接口 重视并发业务逻辑漏洞 扩展资产发现范围(公众号、服务号等) 8.2 工具推荐 Burp Suite:数据包拦截和重放 Yakit:并发测试 VueCrack:Vue应用未授权测试 自定义字典:目录和参数Fuzz 8.3 注意事项 众测中“水洞”漏洞赏金通常为50-300元 漏洞验收标准由厂商决定 技术难度不等于漏洞价值 需要夯实基础,勤于思考 通过系统性地应用上述方法,可以在众测环境中有效发现容易被忽略的“水洞”攻击面,提高测试效率和质量。