本文由团队大佬miniboom记录编写,希望大家能有所收获~
0x01 任意用户登录和提权管理员权限
首先打开页面是这样子的:
客户提供了测试账号,工号是8位数字,首先输入正确的工号,然后在密码处输入'or'1'='1,根据登录结果来看,sql尝试暂时没有多大效果,将xxxxxx94改成xxxxxx95工号,使用94的密码,也是同样的认证失败。
于是输入正确的账号密码,放到repeater中进行重放,返回包里的Location字段存放了重定向地址,并带了access_token值。
再次点击Follow,进入简简单单的登录成功界面。
但是登录接口这里我觉得可以操作一下,我修改了username字段,将xxxxxx94,改成了xxxxxx95,并重放,得到了另外的token值。
然后继续点击Follow。suprise~进入管理员页面来了。
再后来,我把登录接口的Referer换成管理员管理界面URL,尽管登录普通账号,也仍然可以进入管理界面,拥有管理权限。
那到此,就有了两个高危:
-
任意用户登录
-
普通用户提权管理用户
0x02 越权和严重的信息泄露(账号密码)
让我们再回到这个普普通通的登录首页,点击作业辅助,是一串列表。
抓取该请求包。
GET请求后有数字1408055,感觉会有越权,那么就试试跑一波。
老越权了。
但是我们看到它的返回包中,有个Authonization字段,看样子像是base64解密,拿到decode进行解密一波。
爆出了另外用户名和密码。。。
这里又有两个漏洞:
-
越权
-
敏感信息泄露---账号密码
0x03 总结
测试比较常规,但有个地方不是很常规,就是,在页面手动登录时,工号和密码对应不上会提示验证失败,在repeater后成功通过验证后,再次修改username变成其他编号的时候,就又可以获取对应用户的token了。这是神奇的地方,由此开始了获取管理员token,以及反推通过修改referer就可以提权至管理员的漏洞。
这个系统虽一共就3个页面,但存在4个漏洞,但是对待每次的测试就像全新的一次冒险,尽力探索,总会有惊喜。
重要提醒!
团队现开了微信交流群,团队语雀知识库(不定期知识分享)及知识星球(小范围精华内容传播及问答),欢迎加入(微信群通过公众号按钮“加入我们”获取联系方式)
团队公开知识库链接:
https://www.yuque.com/whitecatanquantuandui/xkx7k2
知识星球:
往期经典
安
全
扫描二维码 |关注我们
微信号 : WhITECat_007 | 名称:WhITECat安全团队
本文始发于微信公众号(WhITECat安全团队):漏洞挖掘|一次“平淡”的漏洞挖掘.docx
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论