漏洞挖掘|一次“平淡”的漏洞挖掘.docx

  • A+
所属分类:安全文章

本文由团队大佬miniboom记录编写,希望大家能有所收获~



0x01 任意用户登录和提权管理员权限


    首先打开页面是这样子的:


漏洞挖掘|一次“平淡”的漏洞挖掘.docx


    客户提供了测试账号,工号是8位数字,首先输入正确的工号,然后在密码处输入'or'1'='1,根据登录结果来看,sql尝试暂时没有多大效果,将xxxxxx94改成xxxxxx95工号,使用94的密码,也是同样的认证失败。


漏洞挖掘|一次“平淡”的漏洞挖掘.docx


    于是输入正确的账号密码,放到repeater中进行重放,返回包里的Location字段存放了重定向地址,并带了access_token值。


漏洞挖掘|一次“平淡”的漏洞挖掘.docx


    再次点击Follow,进入简简单单的登录成功界面。


漏洞挖掘|一次“平淡”的漏洞挖掘.docx

    但是登录接口这里我觉得可以操作一下,我修改了username字段,将xxxxxx94,改成了xxxxxx95,并重放,得到了另外的token值。


漏洞挖掘|一次“平淡”的漏洞挖掘.docx


    然后继续点击Followsuprise~进入管理员页面来了。


漏洞挖掘|一次“平淡”的漏洞挖掘.docx

    再后来,我把登录接口的Referer换成管理员管理界面URL,尽管登录普通账号,也仍然可以进入管理界面,拥有管理权限。


漏洞挖掘|一次“平淡”的漏洞挖掘.docx


    那到此,就有了两个高危:


  • 任意用户登录


  • 普通用户提权管理用户


0x02 越权和严重的信息泄露(账号密码)


    让我们再回到这个普普通通的登录首页,点击作业辅助,是一串列表。


漏洞挖掘|一次“平淡”的漏洞挖掘.docx


漏洞挖掘|一次“平淡”的漏洞挖掘.docx


    抓取该请求包。


漏洞挖掘|一次“平淡”的漏洞挖掘.docx


    GET请求后有数字1408055,感觉会有越权,那么就试试跑一波。


漏洞挖掘|一次“平淡”的漏洞挖掘.docx


    老越权了。


    但是我们看到它的返回包中,有个Authonization字段,看样子像是base64解密,拿到decode进行解密一波。


漏洞挖掘|一次“平淡”的漏洞挖掘.docx


    爆出了另外用户名和密码。。。


    这里又有两个漏洞:


  • 越权

  • 敏感信息泄露---账号密码


0x03 总结


    测试比较常规,但有个地方不是很常规,就是,在页面手动登录时,工号和密码对应不上会提示验证失败,在repeater后成功通过验证后,再次修改username变成其他编号的时候,就又可以获取对应用户的token这是神奇的地方,由此开始了获取管理员token,以及反推通过修改referer就可以提权至管理员的漏洞。

    这个系统虽一共就3个页面,但存在4个漏洞,但是对待每次的测试就像全新的一次冒险,尽力探索,总会有惊喜。


重要提醒!

团队现开了微信交流群团队语雀知识库(不定期知识分享)及知识星球(小范围精华内容传播及问答),欢迎加入(微信群通过公众号按钮“加入我们”获取联系方式)

团队公开知识库链接:

https://www.yuque.com/whitecatanquantuandui/xkx7k2

知识星球:

漏洞挖掘|一次“平淡”的漏洞挖掘.docx

往期经典


《从入门到秃头之PWN蛇皮走位》

图形验证码绕过新姿势之深度学习与burp结合

漏洞挖掘|条件竞争在漏洞挖掘中的妙用

移动安全-APP渗透进阶之AppCan本地文件解密

漏洞笔记|记一次与XXE漏洞的爱恨纠缠

内网渗透之从信息收集到横向独家姿势总结-linux篇

HVV前奏|最新版AWVS&Nessus破解及批量脚本分享

Android抓包总结-HTTPS单向认证&双向认证突破


漏洞挖掘|一次“平淡”的漏洞挖掘.docx

扫描二维码 |关注我们

             微信号 : WhITECat_007  |  名称:WhITECat安全团队

本文始发于微信公众号(WhITECat安全团队):漏洞挖掘|一次“平淡”的漏洞挖掘.docx

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: