记一次奇怪的越权

  • A+
所属分类:安全文章

点击蓝字  关注我们




01  前言




某次某个厂商发了一个项目,虽然最后测出来的洞偏出了范围,但是感觉过程还是很有趣的。

01  正文




首先根据厂商的范围找到他的公众号,遂对其中的一个功能点展开测试。

这是一个提供报修功能的公众号。

记一次奇怪的越权

然后填写资料报修设备产品,开启抓包,点击该处功能点

会抓到这个一条请求,可以看到这个功能点的值明显加密了,但是不到黄河心不死,我们来盲测一手,因为他的字段名称是username所以我试了一波用户名典。

记一次奇怪的越权

通过username  出来了,手机号和对应的uid值。

然后跑用户名字典

记一次奇怪的越权
记一次奇怪的越权


蹬蹬,看来好运还是站在我们这边,第一处越权get,这个越权算是打开了我们这的突破口,因为通过这个越权我们又获得了好多东西,

其他用户的手机号和 uid 

然后通过出来的uid还能接着越权

同样抓包抓到的某个请求

记一次奇怪的越权

通过第一处获取到的uid

来进行越权操作

39de7e0d5f9744329ae8f421f8303e80

f67a9e3dd59447078ec122291bc887ce

b10c63c0536748a499f1bbe12ca43f3d

如下图

记一次奇怪的越权

等等

然后还有一处越权在

记一次奇怪的越权

看url就知道了  user  产品 添加

通uid、 可以帮越权给其他用户添加产品 这处也是通过uid 越权的

其实上面最重要的就是这个加密的参数值怎么破解,怎么绕过。我们用拼音字典摆脱了困境。随后获得了uid等参数值,然后拼接uid (因为这个是加密的不可解密)我们洞生洞,然我们可以更加扩展一下。最后完成多处越权攻击。

记一次奇怪的越权


本文始发于微信公众号(IDLab):记一次奇怪的越权

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: