0x00前言
大家熟知的越权都是该参数进行遍历,而忽略渗透过程中获得的信息进行利用,也可以造成越权。这也是满常见的,建议在渗透过程中多观察Response以及Request需要的标识符。漏洞成因:泄露大量用户的Userid无需猜测即可获取大量Userid。
0x01正文
信息收集到了某个小程序,个人习惯喜欢把每个功能点全走一边流程,这样的话能够观察包的情况以及一些功能点的流程。以便于如果挖不到也能捡捡几个逻辑。当我发现观察到自己的userid与公共区域模块Response其他用户信息也存在Userid时候,这个时候就需要找到某一个功能点仅自己能够查看并且鉴权仅使用Userid来校验即可造成越权。
当我在某处私人模块处发现某个包createBy参数与userid相同。
尝试把createBy、digest、username进行删除显示,发现createBy校验用户信息、而digest、username校验登陆状态。
(CreateBy为空)
(digest、username为空时401校验登陆状态)
寻找公共区域泄露的用户的Userid
编写脚本批量获取大量Userid
GET /X?createBy=b9c591f74fee4d4b9271dac03ab1dc8c HTTP/1.1
Host:
Connection: close
charset: utf-8
content-type: application/json
User-Agent: Mozilla/5.0 (Linux; Android 5.1.1; SM-N976N Build/QP1A.190711.020; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/74.0.3729.136 Mobile Safari/537.36 MMWEBID/4626 MicroMessenger/8.0.3.1880(0x28000334) Process/appbrand0 WeChat/arm32 Weixin NetType/WIFI Language/zh_CN ABI/arm32 MiniProgramEnv/android
Accept-Encoding: gzip, deflate
Referer:
成功越权查看别人信息。虽然这次没什么难度的挖掘、主要是思路扩展,不被固定思维困住才能创造更多漏洞。
-
想要和补天百强师傅进行探讨安全问题吗?
-
想要和攻防大佬一起学习秒杀技巧吗?
-
想要获得安全大厂内推机会吗?
原文始发于微信公众号(赤弋安全团队):SRC挖掘 | 某SRC挖掘思路从信息泄露到越权
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论