赏金猎人|从摆烂的逻辑漏洞到离CNVD证书差一步之遥

0x01 前言

    最近对于挖洞确实很摆烂、首先就是没有明确的目标和想要的漏洞类型，其次就是在几年前不起眼的逻辑漏洞在如今被重视起来，挖的也烦了，年前再水一次文章罢，不过这次的故事挺滑稽的，本次漏洞不是关键，没费什么劲的洞

    首先，确定好目标厂商及对WEB端系统分析、逻辑漏洞方面根据特性去判定可能存在哪些，其次就是系统性的漏洞根据自己经验去发现了，厂商是平台已经加入的，经允许的

    在首页逛了半天没看到啥比较突出的，想着注册个账号看其他功能有没有可以利用的点，奈何告诉我没额度了，这操作......

    然后我就根据网站特征去搜索，使用icon找到了一堆的资产

    在仔细看一下这些资产和ICP备案信息分析，这是一个商城系统，不同的电商公司使用了这个系统去做的网页

    然后挑了两个网站去注册，发现所收到的验证码手机号备案公司是同一家的，然后就根据相关信息，确定了此公司是专门做电商平台服务的

    这时候我就很惊喜，资产有了，假设挖到洞，交上CNVD去，证书也手到擒来了啊，可惜现实打了我的脸(后面再说)

    根据对搜集到的资产网站分析如下

这个开发公司A做的模式主要是TO B模式，服务于B端，他所服务的B端客户(电商公司)又是服务C端的(个人用户)根据对网站的分析，结构大概是：WEB首页(电商购物页面)pay页面(仿ZFB)用户中台及商家后台页面(这些全部都集合在一个页面做了超链接并且都在一个服务器下)开发公司A做了托管服务，根据用户需求选择模板，然后放在云服务器上，只给B端客户WEB后台其他的短信额度和服务都在后台充值整体来说是做了一个仿阿里系的系统，至于运营方式不做评价

    言归正传，接下来说一下经历，这次漏洞不算啥，没废什么劲，当个故事看就行，大佬勿喷

* 本文中涉及漏洞已报送厂商修复、本文仅限技术讨论和研究、严禁非法用途、否则产生后果自负

0x02 心路历程

  找到一个可以注册的网站注册成功了，看到在发送验证码响应包内有6位数字，和收到的验证码是一样的

    先注册成功，因为这个原因，猜想是否在忘记密码模块也能利用此方法完成任意用户密码更改

    抓取任意验证流量包，可以进行撞库手机号是否存在，而且没有验证码阻挡

    在忘记密码模块看一下此手机号，并发送验证码

    密码重置成功，并可以使用新密码登录

    登进去账号以后，看看功能，越权pass掉，系统虽然给生成了一个ID但是同时为此ID及一些参数做了一个key值，key进行了加密，修改ID响应包无内容

    支付pass，支付不成功，直接参数报错(我还啥都没操作)

    在它所谓的支付pay页面，有实名入口，可以上传图片，尝试上传图片

    先上传了一个PHP文件，直接前端给pass掉了，没有产生流量，应该是JS判定的，尝试上传一个正常图片，抓到请求包

    尝试上传成功，在尝试上传一个PHP文件进行对比分析

    可以确定，后端没有进行拦截，也没有过滤，分析大概是：前端有JS判定文件类型是否为正常图片，然后进行预览，这里判定可能并不是为了安全考虑，只是单纯对图片的预览功能而已，然后上传成功后，程序进行处理，文件类型按照扩展名进行判定，文件进行重命名按照当前时间转时间戳进行命名，然后返回文件上传路径

    值得一提的是，在直接访问上传成功的文件的时候，图片可以正常打开，而php及其他文件无法打开，包括txt，没有被删除，判断是上传成功后返回的所谓路径最前面的image.php/xxx/xxx/导致的，只能预览读取图片文件

    接下来有两种思路：

    1. 做CS木马，结合图片作为图片马进行上传，等着审核人员点击上线(前提是免杀时间长，审核人员执行力强)、目前可以确定的是服务器上没有杀软，但是不代表审核的PC没有杀软，其次就是这系统做成这样，是真的感觉CS都没必要

    2. 上传图片马-一句话，找文件包含的漏洞，进行命令执行

    爬了一会啥也没爬到，索性先交一个洞是一个洞吧，这个等有时间慢慢搞，亲爱的CNVD我来了，在找了一下最新的交洞规则后，我不淡定了

    以前是注册资金5000万就行，现在需要实缴5000万，我真的不淡定了，唉，难受，我先瞧瞧这个厂商的注册和实缴是多少

    得了，拿证书是别想了，但是确实是可以交的，只不过是啥也没有，这里放一下大佬们交的模板 LK安全

想到把上面的B端网站收集一下，交到公益SRC也不是不行，反正资产也一二百个呢，但是，还是我天真了，查了几个发现根本没权重，最后看了几个漏洞平台，看到漏洞盒子有活动，直接交盒子算了

0x03 总结

    目前CNVD通用漏洞规则如下

对于中危及中危以上通用型漏洞（CVSS2.0基准评分超过4.0分）（除小厂商的产品、非重要APP、黑盒测试案例不满10起等不颁发证书）（注：大厂商的判断标准为（注册资金5000万以上，或者案例涉及省部级以上单位的）(现注册资金改为实缴资金)涉及电信行业单位（中国移动、中国联通、中国电信及中国铁塔公司）和中央部委级别(不含直属事业单位)的高危事件型漏洞CNVD将给予原创漏洞证明（即CNVD漏洞证书，电子版），该证明可通过编号在CNVD官方网站进行查询跟踪。时限要求：按周对上一周归档漏洞且满足证书颁发条件的进行批量制作。（每周三或周四颁发证书）

    当然了、如果说按照我上面的交上去也是可以的，只不过没有证书罢了，虽然看着不起眼的验证码，但是会引起连环蝴蝶效应，通过验证码可以更改密码，登录账户后可以消费，可以解绑个人信息，还存在直接性的个人信息泄露，这样看危害也就大了

原文始发于微信公众号（州弟学安全）：赏金猎人|从摆烂的逻辑漏洞到离CNVD证书差一步之遥