漏洞实战（三）：一个注册接口引发的血案

注册过后正常登陆 发现什么功能点都没有

这是一个gys的注册接口，他的登陆的URL为 xxx.xxx.gys?login然后登陆进去的URL为xxx.xxx.gys?gyslogin 似乎没有什么奇怪的地方 但是我是从这个界面找到了注册功能点的

说干就干，试一试 直接在URL上修改为xxx.xxx.dljg?dljglogin

丢，直接全是敏感信息了（这里必须码厚码）从原来平平无奇的登陆框直接越权到一个都是敏感信息的后台管理界面了。

水平越权+1

继续fuzz URL 希望找到一些其他的后台管理界面。

经过努力还是找到了一个URL xxx.xxx.logincontroller

但是他提示我没有任何权限，这应该是一个普通账号的权限

看到这里我直接拿出一个admin大法 admin/admin

啪 ，直接切换为管理员用户

弱口令+1

历史包看到了这样一个有意思的包

这个查询信息的包的接口太长了，而且接口里面出现的参数全部都会在返回包中出现，这个时候突然灵光一闪，username都能查出来，那么我在接口那加一点参数，比如说password会怎么样呢？会不会也在返回包中出现密码呢？说试就试

果然查出了我自己注册的那个账号的密码 好好好 ，因为我现在登陆的是管理员账号，那么我可以查询出所有用户的密码了。

直接查出2359条用户的账号密码。

敏感信息泄露+1

到这里一般很多人已经停手了，因为前面功能点也拿不到shell，这里又爆出了很多敏感信息，是时候可以撤退了。但是我们要思考，前面存在水平越权，那么这个系统是不是还存在垂直越权？我们是不是只需要一个管理员接口再加上一个普通账号的cookie就可以实现管理员的操作了呢？

刚好前面的管理员接口我们也找到了，那么现在我退出管理员账号，直接登陆我一开始注册的那个普通账号，获取到普通账号的cookie，替换一个cookie试试。

还是查询出了我自己账号的信息 也能查出所有成员的账号密码。

垂直越权+1

拿到了垂直越权，我们还可以继续深入扩大危害。重点关注密码修改的功能点。

在普通账号的密码修改处，一般都是需要你输入原密码才能修改密码的，这个系统的普通账号就是这样的。

但是一般为了方便管理员的管理，管理员修改其他人的密码就并不需要原密码，可以直接进行修改，我们在前面的burp历史包中找到管理员修改密码的接口，利用垂直越权直接用普通账号的权限去修改密码

发现并不需要原密码就能重置密码，只需要id号就可以了，并且id号是可以在前面查询接口查询到的。

任意密码修改+1

END