实战下的逻辑安全挖掘

admin 2024年10月13日01:51:25评论4 views字数 916阅读3分3秒阅读模式

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

P1-短信轰炸(两处,注册、重置密码)

①漏洞URL:http://www.example.com/FrontUser/UserRegister.aspx   注册账号处输入手机号码,不断重放数据包,经测试无次数限制

实战下的逻辑安全挖掘

②漏洞URL:http://www.example.com/FrontUser/UserReset.aspx   密码重置处输入手机号码,然后进行抓包,然后进行重放数据包

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

P2-任意用户注册

原因:因为验证码直接回显到数据包中

请求包:

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

知道该值为验证码是因为用自己的手机号收取的验证码即为响应的value值,该账号为任意输入的账号后注入成功!

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

P3-区别于验证码回显的任意用户注册

原因:只验证下发的验证码是否正确,而没有将手机号与验证码做临时绑定关系,导致在提交的刹那,注册别的账号

大多数注册不会在响应包中显示验证码,那么就没有了嘛,当然不是,还是得测试

这是另外一个网站

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

P4-任意用户密码重置

回到上一个网站的密码重置功能

原因:和上面一样,验证码回显

使用号码18888888888

实战下的逻辑安全挖掘

然后重定向到登录,答案是登录不了,因为虽然可能有这个漏洞,但是原本这个手机号本来就没注册过,因此尝试重置上面的账号1306064xxxx

实战下的逻辑安全挖掘

原来为Wasd6050  现在修改为wasdwasd6050 再次登陆

实战下的逻辑安全挖掘

P5-越权查看订单信息

观察a标签的url地址,点击抓包

实战下的逻辑安全挖掘

通过修改id值,可以水平越权查看他人的订单详细信息

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

P6-后台任意密码修改

原因:修改密码的包分两次发的,第一步是确定原密码是否正确,第二个包是真正修改的包,那么存在逻辑漏洞,第一步输入当前账号的旧密码,通过后第二个包对其他账号进行密码修改

实战下的逻辑安全挖掘

第一个包,直接发出去

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

第二个包的userid参数需要进行修改,知道了另一个账号的userid为45964(不知道情况下遍历)

修改成功后重新登陆1306064xxxx的userid为45964,而该账号成功使用被越权修改的密码hahaha成功登录系统

实战下的逻辑安全挖掘

P7-会话固定

该系统还存在一个问题,修改密码后不会自动跳转到登陆,需要手动退出....

P8-Xss(基本资料两处xss)

由于会话固定的原因,重新登陆

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

实战下的逻辑安全挖掘

原文始发于微信公众号(WK安全):授权投稿|实战下的逻辑安全挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月13日01:51:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战下的逻辑安全挖掘https://cn-sec.com/archives/1907623.html

发表评论

匿名网友 填写信息