实战|记录一次万元漏洞赏金的挖掘

admin 2022年11月4日11:49:07安全文章评论22 views952字阅读3分10秒阅读模式
作者:小乳酸,转载于公众号网络安全之旅。

0x01 前言

       本人,一个热爱生活,热爱网络安全的小青年。在此记录自己日常学习以及漏洞挖掘中的奇思妙想,希望能与热爱网络安全的人士一起交流共勉。

0x02 漏洞背景

     一个app,开局一个登录框。

 实战|记录一次万元漏洞赏金的挖掘

0x03 漏洞挖掘过程

1、首先使用手机号注册一个账户正常登录,使用burp抓取登录成功后的返回包,记录此返回包,返回包如下:

实战|记录一次万元漏洞赏金的挖掘


2、使用另一个手机号注册一个账号,继续抓取登录成功的报文,报文如下:

实战|记录一次万元漏洞赏金的挖掘


3、在抓取到俩个不同账号登录成功的报文后,我们先观察一波,提取其中可能为身份认证的参数,loginToken、userId、phoneNo、tokenAesResult。

    OK,开始进行逻辑漏洞测试,随便填入一个账号,输入验证码,截取返回包,我们修改返回包中上面提取的四个参数,修改四个参数中的一个参数、修改四个参数中的二个参数、修改四个参数中的三个参数、修改四个参数中的四个参数,也就是

实战|记录一次万元漏洞赏金的挖掘

=15种。观察其页面返回,在修改userId时,页面成功跳转到了我自己账号登录成功的页面。

    但是通过注册多个账号,观察其返回的userId值,毫无规律。无法找到userId的规律,也就登录不到其他人的账号。为了提升漏洞等级,继续从页面中找到有关联userId的值。

     庆幸的是app有个讨论功能,在其讨论功能处,抓取到一个可获取到userid的包。返回报文如下。

实战|记录一次万元漏洞赏金的挖掘


4、此时我们退出账号,点击登录,随便输入手机号登录(这个地方手机号必须要是未注册的)。我们修改登录的返回包,将下图中的userId修改为上图中的第一个标红的userId。

实战|记录一次万元漏洞赏金的挖掘


5、此时发现我们登录上这个叫某某飛的账号。

实战|记录一次万元漏洞赏金的挖掘

实战|记录一次万元漏洞赏金的挖掘


0x04 厂商反馈

  这个漏洞让我获得了一万二的赏金。

实战|记录一次万元漏洞赏金的挖掘

加个好友进渗透技术交流群

请备注:进群

实战|记录一次万元漏洞赏金的挖掘

推荐阅读

实战|记录一次万元漏洞赏金的挖掘

欢迎 在看留言分享至朋友圈 三连

 好文推荐  


原文始发于微信公众号(乌雲安全):实战|记录一次万元漏洞赏金的挖掘

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月4日11:49:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战|记录一次万元漏洞赏金的挖掘 http://cn-sec.com/archives/1390242.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: