声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。
众亦信安,中意你啊!
故事背景:
好久没发文章,最近涨粉一天10来个和上个月比相差甚远,害!主打得就是一个没空(ps:其实是懒!!!!!!被迫拿出了当年的一个小漏洞过来水水文章,冲数量,后续会回归正常的更新频率,再次求各位大佬们点点关注。
正题:
-
首先就是找到我们最熟悉得页面,没错开局就是大家最不喜欢的登录框框。好了,想到大家正常的一个思路就是这个框架是啥,看看登录框有没有注入,扫一下目录看看有啥敏感文件泄露没有等等等。
-
哎哟!看到前台有个功能提示叫做账号查询,点进去一看账号可不少,大概3008个,嘿嘿嘿!
-
可是这个初始密码也不知道阿!看了一下是后端加密了的,然后看了一下前台html源码,全局password搜一下,不搜不知道,一搜吓一跳。果然不简单阿。
-
好了抓包看一下账号查询,全局搜一下"passWord":"k2xvHUmCHWw="这个字段,啧啧啧!!!!!2000多个用户还是初始密码。
-
由于大家所看到,前台是有个验证码校验的,这里看看相应包中是不是有用户没有进行验证码绑定的嘞?没有绑定是不是就可以进行一个登录操作?
-
这里一共是发现有8个用户没有绑定手机号码,但是密码是初始密码的就2-3个,挑选一个幸运儿就行登录一下,看看是不是能够登录成功,好了,确实可以不需要验证码进行校验。
-
于是点击看看功能点有没有啥特别稀奇的地方,刚点击就给我来一个logout.jsp然后就跳到登录页面了,心里就好奇难道只有绑定了手机号码的才能正常使用功能点?
-
mmp刚来点希望就给了绝望,只能继续摸索。
-
继续看看用户查询的数据包,看到这个一个用户的数据回显还是有很多str,看了一看突然看到了一个valiCode和一个valiCodeSaveTime,那这个意思不就是验证码和验证码最后保存时间吗?
-
好了,登录这个用户试试看,然后在刷新一下这个数据包,哦吼!还真tm更新了验证码,输入也是可用的。
-
好了,点某个功能点,又tm是和上个一样,一点就是logout跳转到首页去了,后面再次看了一下,好像是登录用户需要给予系统权限?有这个权限的密码又是全改了的,但是下载app登录又是可以登录进去(这里截图就不补充了),所以就有点emo了,不太理解了。
-
这里七里八里的又整了不少时间,就是没有整出来,后面走一次流程,首先看到登录用户成功后就会自动请求logout,如果我把这个logout给drop一下是不是就可以正常使用了?嘻嘻,惊喜的是居然真的可以,默认紧张的神经就放松了下来。
-
后续,在后台找了一个点进行文件上传没有检验后缀,成功获取shell,美滋滋。
点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群
原文始发于微信公众号(众亦信安):多重官方后门到获取服务器权限
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论