技术干货 | SRC挖掘思路(二)

admin 2022年4月23日00:07:37评论159 views字数 1076阅读3分35秒阅读模式

文章来自" bgbing星球",未经授权禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)


本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!


欢迎各位添加微信号:asj-jacky

加入安世加 交流群 和大佬们一起交流安全技术



本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码


因为SRC不让公开,所以这里尽可能讲思路,希望能帮到大家!

开始

首先访问登陆,大概url如下

https://www.xxxx.com/sso.php?redirect=https://2.xxxx.com/xxxx.php

可以很清楚的看到是一个sso统一登陆的界面,在当前页面有两种登陆方式

1、用app扫码登陆

2、账号密码登陆

登陆完后会向https://2.xxxx.com/xxxx.php发送token,实现登陆


伪造后面的url

任何重定向都有可能存在漏洞

https://www.xxxx.com/sso.php?redirect=https://自己的站/xxxx.php

并且我们在自己的站里实时接收任何post或者get数据(cookie)等等

那么我们只需要把上面的url发给受害者,受害者发现这是一个正常的url啊,然后它就可以扫了登陆

其实后面的redirect的url是自己的,所以它只要登陆了,你就能获取到对应token,实现登陆它的账号。


实际漏洞挖掘

发现在后面修改url,没有用,只允许https://2.xxxx.com这种的。

那么我们尝试其他思路,我们试着访问后面的url

https://2.xxxx.com/xxxx.php

就是这个,访问后会显示缺少code参数,那怎么办?

聪明的你肯定想到了,会post或者get(也有可能cookie里,或者请求头的其他地方,具体得自己测试)传个code参数不就行了。


挖到敏感信息泄露漏洞!

https://2.xxxx.com/xxxx.php

post数据是code=1(这里1其实不重要,输入其他也一样)


返回包会显示appid=xxxx,secert=xxxx。

很明显有了这两个,再去找对应api文档,就能获取权限了


猜测:

为什么code=1会显示敏感信息出来?

可能是方便内部测试吧


最后漏洞也已经提交,拿下高危,图就不截了(漏洞目前已修复)

技术干货 | SRC挖掘思路(二)

Good luck and happy hacking.


技术干货 | SRC挖掘思路(二)


技术干货 | SRC挖掘思路(一)

原文始发于微信公众号(安世加):技术干货 | SRC挖掘思路(二)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月23日00:07:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   技术干货 | SRC挖掘思路(二)http://cn-sec.com/archives/930821.html

发表评论

匿名网友 填写信息