1. 项目概述从“打点”到“权限”的经典路径做SRC安全应急响应中心漏洞挖掘的朋友对“打点”这个词一定不陌生。它听起来有点黑话的味道但核心意思很直白就是找到一个可以进入目标系统的初始入口点。你可以把它想象成一场渗透测试的“敲门砖”或者一次战役的“登陆滩头”。而“OA系统”与“通用CMS”恰恰是互联网上最密集、也最经典的“滩头阵地”。这个标题《OA系统与通用CMS —— 打点拿权限的“传统艺能”》精准地概括了无数白帽子、安全研究员日常工作中最频繁上演的戏码。所谓“传统艺能”意味着这套方法历经时间考验虽然防御手段在升级但攻击面依然存在甚至因为其“传统”而容易被忽视从而成为我们挖掘漏洞的富矿。为什么是OA和CMS原因在于它们的普遍性和功能性。OA办公自动化系统承载着一个组织的核心业务流程从考勤、审批到公文流转里面全是敏感数据。而CMS内容管理系统则是网站建设的基石从政府门户、企业官网到个人博客背后可能都是同一套CMS程序。这两类系统为了满足灵活的业务需求往往功能复杂、交互点多并且大量采用开源或商业框架进行二次开发。这就带来了一个根本矛盾功能的复杂性与安全开发的成熟度之间的落差。开发团队可能更关注业务逻辑的实现而将安全视为“配置项”或“后期加固”这就为漏洞留下了空间。“打点拿权限”这个短语则清晰地勾勒出了一条攻击链。它不是一个孤立的漏洞点而是一个有步骤的过程“打点”是发现入口比如一个未授权的API接口、一个暴露的管理后台登录页“拿权限”则是通过这个入口利用漏洞比如SQL注入、逻辑缺陷、文件上传逐步提升自己的权限从普通用户到管理员甚至到服务器系统权限。这个过程考验的不仅是漏洞利用技巧更是对目标系统架构、业务逻辑的理解能力。接下来我们就深入这套“传统艺能”的内核看看如何系统性地进行挖掘。2. 核心思路权限边界的模糊地带是主战场在SRC漏洞挖掘中尤其是针对OA和CMS这类应用我的核心思路始终围绕一个中心权限边界。任何安全漏洞本质上都是对预期权限边界的一次突破。因此挖掘工作不是漫无目的地扫描而是有策略地寻找边界上最薄弱的环节。2.1 理解“权限模型”是第一步在动手之前你必须先理解目标系统大概的权限模型。对于OA和CMS常见的模型包括基于角色的访问控制RBAC这是最普遍的。用户被赋予角色如“员工”、“部门经理”、“系统管理员”角色拥有权限集合。漏洞常出现在角色权限分配错误、权限校验缺失或绕过上。基于访问控制列表ACL直接为用户或用户组对某个资源如文件、功能模块设置具体的操作权限读、写、执行。漏洞可能出现在ACL列表遍历、越权访问上。混合模型上述两者的结合更为复杂也更容易出现逻辑不一致。你需要通过信息收集尝试判断目标所用的模型。查看登录后的菜单、功能点尝试注册不同账号如果有开放注册观察权限差异。很多CMS的默认后台路径是/admin、/wp-adminWordPress、/admin.phpOA系统则可能是/oa、/login、/portal等。这些地方是权限模型的“指挥部”也是我们重点观察的对象。2.2 攻击面枚举从外到内从广到深确定了目标接下来就是系统地枚举攻击面。我习惯将其分为四个层次未授权访问/弱权限点这是最理想的“打点”目标。包括暴露的管理后台搜索引擎语法如site:target.com inurl:admin、目录扫描工具如 dirsearch, gobuster可以帮助发现。默认口令与弱口令针对admin、test等默认用户或使用常见弱口令字典进行爆破。许多OA和CMS在初始安装后并未强制修改默认密码。无需认证的API接口通过抓包分析Burp Suite, Fiddler寻找那些本应校验身份却直接返回数据的接口。例如某些CMS的新闻列表API、图片上传接口可能缺乏鉴权。信息泄露.git源码泄露、DS_Store文件、配置文件如config.php.bak、错误信息回显等可能直接泄露数据库密码、加密密钥等关键信息。已授权用户的越权漏洞这是“拿权限”的核心。分为两类水平越权能访问/操作同级别其他用户的资源。例如通过修改URL中的用户ID参数如/api/user/profile?id123可以查看到用户456的资料。垂直越权低权限用户能执行高权限用户的操作。例如一个普通员工通过构造请求可以访问到本应只有管理员才能看到的后台管理页面或执行管理操作。代码执行与文件操作这是权限提升的“王牌”。常见入口有文件上传漏洞上传功能未对文件类型、内容进行严格校验导致可上传Webshell如.jsp、.php、.asp木马文件。模板注入/代码注入某些CMS的模板编辑功能或内容渲染引擎存在缺陷允许注入可执行的代码。反序列化漏洞在Java、PHP等语言的OA系统中较为常见通过构造恶意的序列化数据触发远程代码执行。供应链与第三方组件漏洞OA和CMS大量使用开源框架如Spring Boot, ThinkPHP、中间件如Redis, Fastjson、编辑器如UEditor, KindEditor和插件。这些组件的已知漏洞NVD, CNVD有记录往往是通杀漏洞。你需要识别目标使用的组件及其版本。注意在SRC挖掘中未经授权的测试是绝对禁止的。所有测试必须在获得目标所有者明确授权通常通过SRC平台提交测试申请后进行。对于未公开的、或你怀疑存在但未公开的漏洞应遵循负责任的披露流程。3. 实战演练针对两类系统的专项挖掘策略有了核心思路我们进入实战环节。我会分别针对OA系统和通用CMS分享一些具体的挖掘路径和案例。3.1 OA系统漏洞挖掘实战要点OA系统业务逻辑复杂用户角色多是逻辑漏洞的沃土。3.1.1 入口发现与信息收集子域名与端口使用工具如OneForAll, subfinder收集目标关联的所有子域名和开放端口。OA测试环境、移动端接口、旧版本系统可能就在某个不起眼的子域上。目录与文件扫描除了通用字典要加入OA相关字典如/seeyon/致远OA、/weaver/泛微OA、/ispirit/泛微、/yyoa/用友等路径。指纹识别使用工具如Wappalyzer, EHole识别OA品牌和版本。知道是致远、泛微还是蓝凌就能快速关联其历史漏洞和默认配置。JS文件分析现代OA前端大量使用JavaScript其中可能硬编码了API路径、接口参数甚至测试账号信息。用浏览器开发者工具仔细查看。3.1.2 核心功能模块测试登录与认证模块密码爆破与锁定机制绕过测试登录失败次数限制是否可被绕过如修改Cookie或IP。验证码漏洞验证码是否可重复使用、逻辑绕过、或识别OCR。密码找回逻辑缺陷这是重灾区。测试是否可通过修改响应包、跳过验证步骤、短信轰炸导致验证码泄露、或利用邮箱/手机号篡改来实现任意用户密码重置。流程审批模块越权审批/查看尝试作为普通用户能否通过接口调用或修改参数审批或查看其他部门、更高级别的流程。流程绕过能否通过前端修改、重放请求等方式跳过某个审批节点直接进入下一环节或结束流程。文件管理与邮件模块任意文件上传重点关注附件上传、个人头像上传、文档导入等功能。测试绕过前端校验抓包改Content-Type、文件名、黑名单绕过.php5,.phtml, 大小写、解析漏洞IIS6.0, Nginx解析漏洞。任意文件下载/读取通过目录遍历漏洞如参数中包含../../etc/passwd读取服务器上的敏感文件如配置文件、源码、日志。个人信息与通讯录模块水平越权修改userId、employeeId等参数查看、修改他人个人信息、工资条、考核结果。敏感信息泄露通讯录查询接口是否未做权限控制导致可导出全公司人员信息。3.1.3 一个典型案例密码找回的逻辑黑洞我曾在一个企业自研的OA系统中发现过一个经典的逻辑漏洞。其密码找回流程如下输入用户名 - 系统向绑定手机发送短信验证码。输入短信验证码 - 跳转到设置新密码页面。问题出在第二步的验证上。我通过Burp Suite拦截了“提交验证码”的请求发现响应包中直接包含了一个success: true的字段和一个resetToken。我尝试将验证码改为一个错误的值但服务器依然返回了success: true和同样的resetToken这意味着服务器端根本没有校验我输入的验证码是否正确只要这个请求接口被调用它就认为验证通过并下发重置令牌。我随后直接用这个resetToken访问设置新密码的页面成功重置了任意用户的密码。这个漏洞的根源在于开发人员将“流程步骤”等同于“安全校验”认为用户到达第二步页面就一定是通过了第一步的验证这是一种危险的前后端状态依赖。3.2 通用CMS漏洞挖掘实战要点CMS的目标是快速建站因此默认安装、通用插件、主题模板是主要风险点。3.2.1 快速定位与版本识别Robots.txt 与 Sitemap.xml这些文件通常会暴露后台路径、插件目录。特定文件指纹访问/wp-includes/version.phpWordPress、/dede/织梦、/e/install/index.php帝国CMS等查看版本信息。错误信息故意触发一个404或错误看是否返回具体的CMS名称和版本。3.2.2 核心漏洞类型挖掘后台入口与弱口令这是最直接的“打点”。尝试默认后台路径和默认账号密码admin/admin。很多站长安全意识薄弱安装后从不修改。SQL注入漏洞搜索型注入CMS的搜索功能是SQL注入高发区。测试搜索框、标签筛选、文章分类筛选等参数。后台注入后台管理功能如内容编辑、用户管理参数过滤可能不如前台严格。盲注与时间盲注由于错误信息可能被屏蔽需要熟练使用布尔盲注或时间盲注技术进行判断。文件上传与包含漏洞编辑器上传FCKeditor、UEditor、KindEditor等网页编辑器历史上漏洞百出。测试图片上传点尝试上传含有一句话木马的图片马利用文件头欺骗并结合文件包含漏洞执行。模板文件上传某些CMS允许管理员上传自定义模板文件.php, .tpl如果过滤不严可直接上传Webshell。本地文件包含LFI/远程文件包含RFI通过参数包含服务器本地文件如?file../../config.php或远程恶意脚本。插件与主题漏洞这是CMS漏洞的“重灾区”。一个流行的CMS本身可能比较安全但其海量的第三方插件和主题质量参差不齐。需要关注插件/主题的更新日志、安全公告并对其独立代码进行审计。权限绕过与未授权访问某些CMS的前台用户功能如投稿、评论与后台管理功能共享了部分API可能通过构造特定的请求在前台触发后台管理操作。直接访问需要登录的页面观察是跳转到登录页还是仅仅隐藏了功能按钮但接口仍可调用。3.2.3 一个典型案例从SQL注入到Getshell在一次对某知名开源CMS的审计中我发现其文章评论功能存在SQL注入。注入点位于评论者邮箱的参数过滤不严。利用这个注入点我首先通过union select读取了数据库中的管理员用户名和密码哈希值。但密码是加盐哈希破解需要时间。于是我转向利用该CMS的一个特性它允许管理员在后台通过“数据库管理”功能执行SQL语句。虽然我还没有后台权限但我发现这个执行SQL的功能对应的PHP文件是/admin/db_execute.php。我直接访问这个文件它果然提示“未登录”。但是我通过之前SQL注入获得的信息知道了该CMS的Session是如何生成的基于用户ID和固定盐值。我通过注入点向数据库插入了一条我自定义的管理员用户记录需要绕过一些约束并计算出了这个新用户的Session ID。随后我使用这个伪造的Session ID修改浏览器Cookie再次访问/admin/db_execute.php成功进入后台。在数据库执行功能里我直接执行SQL语句将一句话木马写入了一个可访问的PHP文件中例如SELECT ?php eval($_POST[cmd]);? INTO OUTFILE /var/www/html/shell.php最终成功获取了Webshell。这个案例串联了SQL注入、逻辑缺陷Session生成机制可预测、后台功能滥用多个漏洞完成了从“打点”到“拿权限”的完整链条。4. 工具链与自动化辅助手工挖掘是基础但合理的工具能极大提升效率。我的工作流通常如下信息收集阶段子域名OneForAll, Subfinder, Amass端口扫描Nmap, Masscan目录/文件扫描Dirsearch, Gobuster, ffuf指纹识别Wappalyzer (浏览器插件), EHole, WhatWeb历史记录Wayback Machine, SecurityTrails漏洞探测阶段代理与抓包Burp Suite Professional (核心) Fiddler主动扫描器Burp Scanner, AWVS, Xray 谨慎使用避免对目标造成压力专项漏洞检测SQL注入sqlmapXSSXSStrike, dalfox命令/代码注入Commix框架/组件漏洞利用根据识别出的指纹搜索对应的公开Exp或编写POC。权限提升与后渗透在授权范围内Webshell管理AntSword (蚁剑), Godzilla (哥斯拉)内网探测frp, ngrok (用于隧道穿透) Nmap (内网扫描)信息收集LinPEAS (Linux), WinPEAS (Windows) 用于本地提权信息枚举。实操心得工具不是万能的但不会用工具是万万不能的。我的原则是让工具做重复和模式化的工作用人脑做分析和判断。例如用扫描器发现疑似注入点但一定要手工验证其真实性、判断注入类型、思考如何绕过WAF。Burp Suite的Intruder和Repeater模块是手工测试的“左右手”必须非常熟练。5. 漏洞挖掘中的高阶思维与技巧掌握了基本方法和工具后要想挖到高质量的漏洞还需要一些高阶思维。5.1 “黑盒”与“白盒”的结合SRC挖掘大多是黑盒测试但我们可以无限逼近“灰盒”。寻找源码通过.git泄露、备份文件、安装包下载等方式尝试获取目标系统的部分或全部源码。关注开源项目如果目标使用的是知名开源OA或CMS如Ruoyi Jeecg-Boot WordPress直接去下载一份相同版本的源码进行本地审计。你在源码中发现的漏洞很可能在目标系统上也存在。反编译与调试对于Java的.jar包或.NET的dll可以使用反编译工具如JD-GUI, dnSpy进行分析。5.2 业务逻辑深度理解漏洞往往藏在业务的“角落”里。你需要真正理解这个功能是做什么的。换位思考如果你是开发者为了实现这个功能你会怎么写代码哪里最容易出错比如忘记做权限校验、认为某些参数不可被用户控制。多角色测试如果可能注册或获取不同权限的账号用户、编辑、管理员观察同一功能在不同角色下的请求差异。流程穿越不按正常步骤操作。例如在支付流程中直接尝试访问“支付成功”后的页面在审批流程中尝试撤回已提交的申请并重新提交到其他节点。5.3 绕过技巧的积累现代应用都有一定的防护WAF、输入过滤。SQL注入绕过学习大小写、双写、编码、注释符、等价函数替换等技巧。文件上传绕过Content-Type、文件名、文件头、.htaccess、配合解析漏洞。XSS绕过HTML事件、JavaScript伪协议、编码、利用SVG等标签。规律总结把每次遇到的防护和绕过方法记录下来形成自己的知识库。6. 常见问题排查与修复建议实录在挖掘和后续的漏洞修复沟通中会遇到一些典型问题。6.1 漏洞复现与证明这是提交漏洞报告时最关键的一步。报告必须清晰、可复现。步骤明确像写教程一样123... 写清楚每一步操作、输入的参数、看到的页面。证据确凿使用Burp Suite截取完整的HTTP请求和响应包以文本形式粘贴在报告中。关键部分如恶意参数、成功回显用高亮标出。影响说明客观描述漏洞可能造成的影响如信息泄露、权限提升、数据篡改避免夸大。修复建议提供具体的修复方案。例如对于SQL注入建议使用参数化查询Prepared Statement对于越权建议在服务端对每次请求都进行会话和权限校验。6.2 开发人员的常见误解与开发人员沟通时他们可能会有一些误解需要你耐心解释“前端做了校验就行了”必须强调所有安全校验必须在服务端进行前端校验仅用于提升用户体验可被轻松绕过。“这个功能只有管理员能用所以没问题”需要解释垂直越权的概念即如何从普通用户权限“爬升”到管理员权限或者管理员Cookie被盗取的情况。“我们用了框架很安全”框架提供了安全基础但不正确使用框架如错误配置、使用不安全的方法同样会导致漏洞。例如Spring Security配置不当会导致权限绕过。6.3 自己挖洞时的“坑”“扫不出来就是没漏洞”扫描器不是神器。很多逻辑漏洞、新型的绕过手法扫描器根本无法发现。深度依赖手工测试和逻辑分析。“这个点别人肯定测过了”不要有这种心理。每个人的思路和测试深度不同。一些看似普通的点深入下去可能有新发现。特别是业务逻辑千变万化。“急于求成浅尝辄止”看到一个登录框就只测爆破和验证码看到一个上传点就只测常见后缀。应该系统地、多角度地测试每一个输入点和功能流。6.4 漏洞修复后的验证提交漏洞后要跟踪修复情况。在厂商修复后需要进行验证测试但要注意获得再次测试的授权。不要使用原来的PoC厂商可能只针对你的PoC做了修补。尝试用变形的Payload、不同的攻击路径去验证漏洞是否被根本性修复。关注“修复”引入的新问题有时修复一个漏洞如增加过滤可能会破坏正常功能或引入新的安全风险。7. 从实战到沉淀构建个人漏洞挖掘体系最后我想分享的是漏洞挖掘不应该是一次性的“碰运气”而应该成为一个可持续、可复现的体系化过程。7.1 信息管理与知识库我使用Notion或Obsidian来搭建个人知识库。里面会分门别类地记录目标资产清单我关注的公司、其子域名、主要系统、使用的技术栈。漏洞模式库将遇到过的漏洞按类型SQLi XSS 越权 文件上传 逻辑漏洞、按技术Java反序列化 Fastjson Shiro、按厂商泛微OA某版本漏洞 WordPress某插件漏洞进行分类记录包括漏洞原理、利用条件、Payload、修复方案。工具使用笔记每个工具的常用命令、参数、使用技巧和踩坑记录。阅读与学习笔记从安全博客、论文、CTF Writeup中学到的新思路、新技巧。7.2 工作流固化将成功的挖掘过程固化成 checklist 或脚本。信息收集Checklist每次面对新目标都按照固定的清单进行信息收集确保没有遗漏。通用测试点Checklist针对登录、注册、密码找回、上传、查询等通用功能列出必须测试的项目如登录的爆破、锁机绕过、验证码上传的文件类型、内容、路径。自动化脚本对于重复性高的工作比如用特定Payload批量测试一批URL中的参数可以编写简单的Python脚本配合Burp的API或直接使用Requests库来完成。7.3 心态与法律边界保持好奇心与耐心漏洞挖掘是技术和耐心的结合。一个看似正常的页面背后可能有十几种攻击向量。严守法律与道德底线只在获得授权的范围内进行测试。不触碰、不泄露任何未授权的数据。通过合法渠道SRC平台提交漏洞。拥抱分享与交流在遵守规则的前提下多和社区交流。看别人的漏洞报告学习他们的思路和方法。分享自己的经验也能获得反馈和进步。这套针对OA系统和通用CMS的“传统艺能”之所以经久不衰正是因为这些系统在追求功能、效率和易用性的同时安全往往被置于次要位置或者因为复杂的业务逻辑而难以面面俱到。作为挖掘者我们的价值就在于用攻击者的思维帮助开发者发现这些盲点。这个过程就像一场永不停歇的攻防博弈而深入理解权限边界、业务逻辑和人性弱点永远是其中最核心的武器。每一次成功的“打点”和“拿权限”背后都是对系统的一次深刻理解而不仅仅是工具和Payload的简单堆砌。