前言:
之前(某春天)漏洞特别火,突然得知怎么得到exp,于是还是去钟馗之眼信息收集了一波(别问为啥不用fofa,问就是穷限制了我的想象)。准备复现
无意间获取到了一个后台,发现上面有学生注册,点击一看,只需要学号和姓名即可注册,这不美哉!
启动google大法
google语法
一些敏感文件收集:
site:xxx.xxx filetype:pdf/doc/xls/txt
site:xxx.xxx filetype:log/sql/conf
有时候运气好的话,可能还会收集到身份证
获取到姓名学号之后,进行注册登录进去
登录进去发现有个文件上传的点,于是进行了文件上传
通过修改后缀很容易就绕过了,上传成功jspa。
访问jspa文件,正常回显
通过蚁剑连接
返回数据为空。记,下班!
正打算放弃,想毁尸灭迹,点击删除的时候,发现有个id号,于是就尝试-1,放包,刷新发现我上传的上一个图片被删除了,原本要删的图片并没有消失。猜测这里很有可能存在越权
这不熬夜挖洞?于是又通过之前找的学号文档进行另外一个账号注册登录。进行测试
果然不出意外的,发现了越权漏洞
开始操作:
使用两种不同的游览器进行登录
第一个账号进行添加记录
使用burp抓包,点击删除按钮,记录id值,将包进行drop
同理,跟之前操作相同换另外一个账号添加记录
点击删除,使用burp抓包
修改前:
修改后:
id值-1进行forward放包
此时回到最第一个登录的账号查看记录,记录已经被删除了
原理也很简单:当用户成功添加记录的时候,会将数据存储到数据库中,并用ID值进行标记,当进行删除的操作,就会从数据库调用此ID值进行删除的操作,由于此处没有对用户调用数据的时候,对用户的权限进行限制导致了逻辑越权漏洞
★
欢 迎 加 入 星 球 !
代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员
进成员内部群
星球的最近主题和星球内部工具一些展示
加入安全交流群
关 注 有 礼
还在等什么?赶紧点击下方名片关注学习吧!
推荐阅读
原文始发于微信公众号(渗透安全团队):实战 | 不经意的越权漏洞挖掘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论