您现在的位置: 首页 > 维权动态 > 首页推荐 > 记一次dig到进入核心权限系统

记一次dig到进入核心权限系统

作者:老K维权   来源:老K维权  热度:45  时间:2018-11-18
昨天给朋友看看他们遇到的浏览器访问不到的问题(提示危险),第一直觉是https证书问题,后来细想,没有https,也不至于提示诈骗网站,不是红屏那种(极度危险的站点)然后尝试了以下几个步

昨天给朋友看看他们遇到的浏览器访问不到的问题(提示危险),第一直觉是https证书问题,后来细想,没有https,也不至于提示诈骗网站,不是红屏那种(极度危险的站点)

然后尝试了以下几个步骤。

1、强制使用https,通过查看浏览器的security项了解到作用的域名在另外一个域名下(这里标记为cdomain),而非本域名

2、然后dig目标域名,了解到目标域名cname 到了cdomain下,然后从cdomain A 记录到ip 地址

3、然后看到cdomain下的一个子域名p.cdomain 暴露了一个登陆界面,然后尝试用admin、123456这样的一个弱口令非安全通用的账户登陆到了核心权限系统

4、遂告知朋友,这个弱鸡口令和账户

5、然后后续就是和朋友聊他们那边的op对浏览器提示季度危险的情况等一系列讨论


这里面有几个小的关键点。cname目标是有网络https证书的,geotrust级别的

而cdomain能通过https正常访问(没有做强制跳转)而http就也可以正常访问(提示不安全)

而问题站点,依然无法正常访问,浏览器也并未阻止用户访问,只是提示危险情况,访问与否交给用户去做抉择。

虽然问题根源没有彻底找到,但是我个人还是比较倾向于问题点来自cdomain的证书这个问题。

阅读推荐

广告位 ID:2 320*120

登录

使用微信帐号直接登录,无需注册