SRC实战：信息泄露到越权管理员

0x00 Preface [前言/简介]

最近看到各位表哥又在挖洞了，某某src又开始众测了。身为低危小王子，捡漏臭弟弟的我，也想跟着各位表哥的脚步，弟弟绞尽脑汁不断努力学习挖洞，就为了表哥的一句带我。

说干就干，遵循表哥们说的只要有手就行原则，工具开起来，常规操作来一套，信息收集走一走，fofa用起来，有啥找啥，没啥就创造啥。

0x01 chapter1 信息泄漏

初探子域名，收集了大概就100来个，大部分都不能访问成功，使用goby大概过了一下子域名的资产，并没有发现突破点，只能开始一个一个看看子域名，看能不能找到突破点了。

一路看下来，发现一个系统是单独开放注册，然后不和统一认证平台关联，大概是下面这个样子。

走个常规流程，老样子，先开始正常注册，注册界面大概是下面这样

常规测试流程走一下，啥都没发现，只能尝试登录进去之后，找找逻辑漏洞了。登录之后的界面大概是这样

没有多余的功能点测试，先进个人中心看看，找找看看有没有越权

开启我的burp，看看数据包，发现不知道是自己太菜了还是啥，唯一个userid，也是加密的

继续探测，并没有发现什么有用的东西，到此陷入僵局。

定睛一看，一个上午的时间都已经过去了，都快吃饭了，想着再看看，不能轻言放弃。

继续看看burp里的数据包，翻阿翻阿，发现一个有一个api，还有一个user。

成了，发现返回了整个系统注册过的用户，包含了id，用户名，手机号，头像的路径

0x02 chapter2 越权

到此，收获一个高危的信息泄漏，想着再看看，试试能不能越权，因为手上已经有了返回的id，掌握了一些信息，直接开干，使用Chrome的Editthiscookie插件，开始替换userid。

因为，之前返回的用户信息里收集到的admin用户的id就是1，所以我们直接替换为1，看看能不能直接越权到管理员，发现直接成了

到此大概收尾，收获一个越权漏洞，其他的一些功能点，大部分都不能使用，上传头像都不行。

0x03 summary 总结

这一次的挖洞，也不愧我为捡漏臭弟弟的称号。总结还是一句话，挖洞还是得细心，不能错过任何一个点，任何一个细节，文章中提到的工具，基本搜索引擎都能找到，善用搜索引擎。

0x04 other 其他 

感谢大哥们的对NOVASEC的支持点赞和关注，加入我们与萌新一起成长吧。

如有任何问题、建议、投稿请加NOVASEC-MOYU,以方便及时回复。

本文始发于微信公众号（NOVASEC）：SRC实战：信息泄露到越权管理员