漏洞挖掘 | 任意密码重置 + 存储型XSS

admin
admin
admin
102367
文章
87
评论
2024年2月7日19:45:47评论16 views字数 1928阅读6分25秒阅读模式

扫码领资料

获网安教程

漏洞挖掘 | 任意密码重置 + 存储型XSS

漏洞挖掘 | 任意密码重置 + 存储型XSS
本文由掌控安全学院 - 老板来一份烧鹅饭 投稿
还是老样子,打开谷歌镜像,搜索site:edu.cn指定域名,搭配关键字登陆,注册,忘记密码,等等,或者xxx系统比较容易挖出通杀。
漏洞挖掘 | 任意密码重置 + 存储型XSS

逻辑漏洞挖掘思路

1.登陆
登陆处一般会出现
  • 无验证码可爆破
  • 验证码登陆爆破(4位,或长期有效)
  • 验证码登陆绕过
  • 验证码在返回包
  • 短信轰炸
  • 邮箱轰炸
  • sesslon覆盖
  • 万能密码
  • post注入
  • xss
2.注册
  • 任意用户注册
  • 注册覆盖
  • 验证码在返回包
  • 短信轰炸
  • 邮箱轰炸
  • xss
3.密码找回
  • 任意用户密码重置
  • 密保问题在前端源码
  • 验证码爆破
  • 手机号码篡改为自己的接收短信验证码
  • 邮箱篡改为自己的接收短信验证码
4.会员系统(报名系统)
  • 用户越权访问
  • 订单越权查看修改
  • 收货地址越权查看修改
  • 资料越权查看修改
  • 换绑手机号码短信轰炸
  • 水平垂直越权
  • 接口查询
  • 数据泄露
  • 文件上传
  • 资料处xss
  • csrf
5.支付系统
  • 商品价格修改
  • 优惠卷数量修改
  • 折扣修改
  • 商品数量修改
  • 支付金额修改
  • 积分修改
  • 收货地址越权遍历
  • 订单查看
  • 备注处xss
  • 支付成功订单重放
  • 优惠数量限制突破

漏洞挖掘

(漏洞都已修复了)从谷歌语法里找了个站测试,这是一个报名系统
漏洞挖掘 | 任意密码重置 + 存储型XSS
整体看了一下功能,发现找回密码处是没有验证码的,抓包爆破预报名号,我一般爆破不知道是几位数字的都是从100000开始到99999999,每次加12341,如果每次就加1不知道要跑到猴年马月
漏洞挖掘 | 任意密码重置 + 存储型XSS
最后爆破到账号分布350000-360000之间返回包长度在5100多就是账号存在,4000多的是不存在的,再换成6位数爆破,最后爆破到一堆账号
漏洞挖掘 | 任意密码重置 + 存储型XSS
利用爆破到的账号,通过密保问题找密码
漏洞挖掘 | 任意密码重置 + 存储型XSS
漏洞挖掘 | 任意密码重置 + 存储型XSS
本来想抓包看看能不能绕过或者看看密保答案在不在数据包里,最后发现抓不了包,这前端验证,那答案不是在前端源码里了,仔细找了一下果然真的在前端源码里
漏洞挖掘 | 任意密码重置 + 存储型XSS
完美
漏洞挖掘 | 任意密码重置 + 存储型XSS
登陆验证一下,成功登陆,严重泄漏个人信息
漏洞挖掘 | 任意密码重置 + 存储型XSS
到这里不急着提交漏,看看能不能扩大攻击范围,刚才是预报名的账号而已,利用泄漏的身份证号码,去登陆考生号,结果当然也是一样密保答案在前端源码里。

不知不觉已经9点了,再挖一个洞就睡觉吧

接下来是一个卖书刊的站
漏洞挖掘 | 任意密码重置 + 存储型XSS
点进来就发现一个购买会员卡的界面,本来想测支付金额的,看卡能不能1元购,最后发现货到付款,还有钱要汇款了,这应该要人工审核!
漏洞挖掘 | 任意密码重置 + 存储型XSS
填写收卡信息里这么多输入框,不打xss还等啥
漏洞挖掘 | 任意密码重置 + 存储型XSS
刚测姓名那里就弹框了,这运气这么好?
漏洞挖掘 | 任意密码重置 + 存储型XSS
提交的信息的时候失望了,确认并提交那里xss代码都没有了,修改了别的地方还是没有,应该没希望了,不知道后台会不会弹出,算了直接丢xss平台吧
漏洞挖掘 | 任意密码重置 + 存储型XSS
漏洞挖掘 | 任意密码重置 + 存储型XSS
提交订单后,出来一个发票索要,又是一大堆输入框,就喜欢这么多框,存储xss又有希望了,
漏洞挖掘 | 任意密码重置 + 存储型XSS
发现是之间提交的没有限制,之间盲打试试看丢xss平台,果然没令我失望,成功打到cookie
漏洞挖掘 | 任意密码重置 + 存储型XSS
漏洞挖掘 | 任意密码重置 + 存储型XSS
刚想提交,wq域名竟然变了,竟然不是edu的,?只能提交公益src了,竟然不是edu的,拿打到的cookie去后台看看还有没有什么漏洞,最后发现,登陆不上,还验证ip。
最后我通过xss平台返回的xss触发的地址打开看看
漏洞挖掘 | 任意密码重置 + 存储型XSS
点击返回订单,又有了新的发现,发现可以查看用户的资料,不知道是不是我设置了打到的cookie的缘故可以看,还是越权,我把链接复制换新的浏览器打开发现也能访问,应该就是越权了
漏洞挖掘 | 任意密码重置 + 存储型XSS
漏洞挖掘 | 任意密码重置 + 存储型XSS
发现待处理里面,可以审批信息
漏洞挖掘 | 任意密码重置 + 存储型XSS
又有一处存储型xss
漏洞挖掘 | 任意密码重置 + 存储型XSS
刚才的页面没啥好测了,泄露了这么多信息还不扩大攻击范围等啥呢,利用泄露的手机号码看看能不能重置密码
漏洞挖掘 | 任意密码重置 + 存储型XSS
测试了一下发现验证码6位数,有效期10份钟,验证码没有返回在数据包,本来想爆破的,试一下看看能不能把接收验证码的手机号码改成我的,短信会不会收到
抓数据包测试
漏洞挖掘 | 任意密码重置 + 存储型XSS
验证码收到了,尝试下一步,发现验证码已失效,看来有防御机制,我还是看看能不能成功爆破把,短信发送给用户,爆破前我又试了一下修改手机号码,这次,竟然可以了,最后发现要先发送一次给用户,第二次在改自己的手机号码才有效,不知道啥逻辑
漏洞挖掘 | 任意密码重置 + 存储型XSS
漏洞挖掘 | 任意密码重置 + 存储型XSS
登陆验证一下,成功登陆,里面还有钱,点到为止,提交漏洞了。
漏洞挖掘 | 任意密码重置 + 存储型XSS
不知不觉12点了,5点还要起床,赶紧上床睡觉,

.

漏洞挖掘 | 任意密码重置 + 存储型XSS
~
师领取
上千教程+工具+靶场账号
漏洞挖掘 | 任意密码重置 + 存储型XSS
分享后扫码加我

回顾往期内容

Xray挂机刷漏洞
零基础学黑客,该怎么学?
网络安全人员必考的几本证书!
文库|内网神器cs4.0使用说明书
代码审计 | 这个CNVD证书拿的有点轻松
【精选】SRC快速入门+上分小秘籍+实战指南

    代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

漏洞挖掘 | 任意密码重置 + 存储型XSS
点赞+在看支持一下吧~感谢看官老爷~ 
你的点赞是我更新的动力

原文始发于微信公众号(掌控安全EDU):漏洞挖掘 | 任意密码重置 + 存储型XSS

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月7日19:45:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞挖掘 | 任意密码重置 + 存储型XSShttp://cn-sec.com/archives/2478444.html

发表评论

匿名网友 填写信息