前言:是在漏洞盒子挖企业洞的时候发现的,对我来说是此前没遇到过的如果有遇到过的大佬请忽略(漏洞已提交修复)
1,确定要挖的企业资产
下面列出了车企的资产,这边不放了,直接写过程吧
搜索资产搜索到了一个用户登录后台,但是我没号,注册一个去。
注册完之后浏览浏览功能点,其它的容易把厂商隐私所以就不放了,这边有个个人资料,这种点最多的基本是水平越权了吧,但是盒子的这种车企我又感觉不会出现,所以决定抓包看看。
为了方便我就直接写在记事本分析一下,cookie用了md5加密,但是soMD5解不了,用一下一位大佬的VIP账户去md5解一下解出来是:
SKRTU248IPO43S57Y79然后再抓一次包看看有没有规律
解密出来是
KYUIPORE43S5SM79多抓几次直接放解密出来的给大家看
LOITUHN45D43S59U79KYOUI6794YT43S5L879不知道大家发现了规律没有,看似cokie是随机值但是注意看中间的
43S5和最后的两位数
79然后再回到我们的后台界面
我们的账户码就是43S579,所以这边的cookie再43S5前面的值就是随机值然后再隔2位也就是79前的两位也是随机值,这边不一定是2位因为有几次测试的就是3位数的一个随机值。
那这边就尝试更换一下别的账户的识别码看看能不能实现水平越权,先再注册一个
一个账户。
这边记住这个识别码,先用识别码为43S579的这个点击查看个人资料抓包
解密值为
IOPYTU76843S57SP79按之前的规律来看最后两位就是账户识别码的最后两位所以先把识别码为59KI893的93用来替换cookie中原来的识别码73,再把59KI8用来替换43S57,最后得到的就是。
IOPYTU76859KI8SP94因为原cookie采用的md5加密这边加密一下再替换
469F50BE850778E1C652FD18F77F1420
替换后放包
账户43S579的成功越到了59KI893上,逻辑洞存在。
因为不是开发大神,所以就简单按我自己的猜想分析一下吧,这边的cookie发送到服务器应该是会核对前面和中间那两位随机值的,因为此前我试着更改随机值时就会错误,而识别码的作用应该就是绝对回显信息,两半识别码分散发送最后服务器又重新拼接,然后识别核对识别码,最后发送该账户识别码对应的信息。
补充:识别码还有个作用就是再 忘记账户密码时可以直接填写识别码更改密码
原文始发于微信公众号(嗨嗨安全):实战中get的一个新姿势-逻辑漏洞(flower安全日志)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论