漏洞挖掘 | 记一次越权登录

  • A+
所属分类:安全文章

http://xxxxx/index.html?userNo=xxxx


可以直接登录学生用户(女朋友给的)

漏洞挖掘 | 记一次越权登录

fofa收集了一波4个站点。。。,由于没扫到备份,只能黑盒测了

然后发现一处接口 杂七杂八测试了下,发现有意思的一处接口泄露用户信息
自己用户是返回自己角色标识参数是SYS004
已知(已知是因为社工拿到了管理员账户)管理员参数是SO1和SYS001


我们把我们的登录参数改成对应是管理员参数

漏洞挖掘 | 记一次越权登录

成功以管理员权限登录后台

漏洞挖掘 | 记一次越权登录

到后台发现一处SSRF


http://xxxxxxx/api/xxxxx?path=dnslog
过了几天后站又开了用之前的方法进不去后台还加了管理员JWT验证


厂家修复后第二次绕过….
老操作直接抓包

漏洞挖掘 | 记一次越权登录继续绕过。。。。,还发现一处暴露的账户和密码

漏洞挖掘 | 记一次越权登录以为这就完了吗


校方和厂家找到我,说让我在摸一次这系统
百般无奈,又一次绕过了。。。。


先看厂家修复方案
漏洞挖掘 | 记一次越权登录增加登录者身份关系校验,开摸开摸
第三处绕过:

漏洞挖掘 | 记一次越权登录

发现确实不能用之前方法进去了会302


空值绕过:
rm参数设置空之后正常返回数据


userId=1&menuRole=SYS004&roleNo=SYS004&cal=381&rm=


成功绕过又进来了
漏洞挖掘 | 记一次越权登录目前系统厂家已修复

漏洞挖掘 | 记一次越权登录

           

漏洞挖掘 | 记一次越权登录


推荐阅读:


SRC逻辑漏洞挖掘详解以及思路和技巧


SRC漏洞挖掘经验+技巧篇


干货 | 登录点测试的Tips


漏洞挖掘 | 单点登录的网站通过Referer盗取用户授权


漏洞挖掘 | 记一次越权登录


点赞,转发,在看


文章来源:先知社区

作者:目标是成为神奇宝贝训练家

如有侵权,请联系删除

漏洞挖掘 | 记一次越权登录

本文始发于微信公众号(HACK学习呀):漏洞挖掘 | 记一次越权登录

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: