0x01 前言
在一个无聊的下午,突然看到某家SRC发布翻倍活动,1.5倍金币,那就挖挖吧。
末尾可领取挖洞资料文件
0x02 漏洞发现
挖掘的起因源于一个返回包。在一个网站的登录页面,我先是随便感受一下功能点。发现他会返回一个false,根据乌云多篇历史漏洞报告的经验,我感觉这里可能有漏洞。
于是我试图修改返回包绕过这个登陆,方法就是将返回包的响应值修改为true。
于是我得到了一个这样的结果,确实我成功绕过了。
但是我只是看了一眼其中的内容就被送了出来,因为在校验的过程中根本识别不到我的cookie。我只是绕过了前端欺骗了自己。
于是我想方设法的弄到一个存在的账号去不断的尝试,刚开始申请加入群聊,企图从用户中获取一些信息,但是久久没有通过。
我就想着去生成手机号爆破,去找一个存在的用户,在爆破的过成功中感觉自己真蠢,这得爆破到猴年马月?
于是我准备放弃,何必为了一个不一定存在的漏洞累死自己,但是我还是不甘心的点了点网站的功能,这时候有了新的突破!
程序员将注册功能写到了注释里面,于是我开心的注册了两个账号:张三和李四。
这样我就成功的进入到了程序当中,在一个添加队友的功能点处我发现了一个越权的漏洞,我可以修改用户的id去删除队友,但是在这个时候会显示队友的全部信息。
通过遍历这个id参数可以得到其他用户的信息,但是有个奇葩的点就是,这个删除队友功能会直接操作数据库,直接数据库的内容给删除了。
这里提醒小伙伴们遇到删除的功能一定要慎重,不然可能会出现不可规避的风险。在测试过程中我发现返回包中存在用户文件的路径,通过下载官方文档获取了文件的存储位置后,拼接就可以下载用户的作品。
在测试其他功能的过程中我发现了一个上传pdf的功能点,于是上传了pdfxss但是没啥危害
我又想起来在我注册的时候网站突然抽风了一样给我发了十几条验证,这里难道有短信轰炸?于是我抓包测试了一下,果真是一点限制都没有,十秒钟发一百个包也没问题。
于是我又想了,这里他喵的短信验证码这样发都没啥事,是不是可以重置个密码什么的,于是我抓了个包测试了一下,六位验证码一顿爆破。
我想着既然密码重置都成功了,任意用户注册应该也没跑了。
但是一百万的字典得爆破到猴年马月,于是我挂上程序之后就去睡觉了,起来的时候burp已经崩溃了,但是我测试的账号显示已经注册成功,努力没有白费!
0x03 最后
整个过程前前后后持续了三四天,每次没有新进展的时候我就回头看看,总会有一些新的发现。挖洞,最重要的还是细心!喜欢的师傅可以点赞转发支持一下谢谢!
0x04
原文始发于微信公众号(渗透安全HackTwo):一次简单的SRC漏洞挖掘|挖洞技巧
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论