点击「蓝色」字体关注我们!
1.某河学院小程序存在越权获取其他学生个人信息
测试账号: 202201070341
测试密码: ******(打码)
访问我的,并在数据包中获取到如下数据包
http://ykt.***.edu.cn/rest/services/irp/v1.0/smart_eyes_0319b39/getCardholderInfo_wzh
把数据包发送到repeat模块,修改smt_rybm后面的参数为202201070342,可以越权到其他学生的身份信息
修改参数为admin还可以越权到管理员信息
2.某河学院小程序存在越权漏洞修改密保导致任意用户密码重置
测试账号1:202201070341
测试密码1:******(打码)
测试账号2:202201070222
测试密码2:******
测试账号3:admin
测试密码3:******
通过登录口的找回密码功能,输入测试账号2的账号、验证码进行抓包
获取到下面的接口数据包
/rest/services/irp/SMART_IBUS_1300_user/userService/checkLoginAccount
获取到测试账号2的mbid与ryid,后面修改会用到。
使用测试账号1进行登录,登录后点击我的密保设置
点击重置后原来的密保均输入1,输入后点击重置,抓包
获取到下面的接口数包
/rest/services/irp/SMART_IBUS_1300_user/userService/verifyPwdQuestion
修改personN为我们测试账号2的账号202201070222
放包后抓取响应数据包,修改ReturnCode值为0000
成功跳转到修改密保
输入密保信息,均为1,点击提交,抓包
获取到如下的数据包
将我们前面获取的mbid填入,personid使用前面获取的ryid,personNo修改为测试账号2的账号202201070222,
放行成功修改
再回到登录页的找回密码功能输入找回账号202201070222 和验证码,进行下一步,输入刚刚重置的密保,前面密保均设为了1,点击下一步,成功校验密保
进入修改新密码
设置新密码为123456,与对应验证码,提交后抓包
获取接口数据包
/rest/services/irp/SMART_IBUS_1300_user/userService/restPassword
发送到repeat模块,发送成功修改202201070222学生的密码
在repeat模块中修改personNo的值为admin,成功修改admin管理员的密码
成功利用密码重置后登录
PwnPigPig知识星球(限时优惠劵)
#
原文始发于微信公众号(PwnPigPig):edusrc小程序漏洞挖掘思路(越权+逻辑)
原文始发于微信公众号(PwnPigPig):edusrc小程序漏洞挖掘思路(越权+逻辑)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论