学习一篇漏洞报告,当遇到只有一个登录界面的时候该怎么测试。
测试目标假设为:target.com,打开后是一个登录页面。
首先做了一些模糊测试。Dirsearch/Gobuster/Waybackurls 什么也没扫描到。尝试手动输入了一些参数,依然什么都没发现。
打开 Burp Suite,这时事情变得有趣,登录请求如下:
重置密码请求如下:
尝试不同的电子邮件,后端会返回邮件是否存在,说明用户可以枚举。
将 POST 请求更改为 GET,我得到了:
但后来我想,如果我对 /api/users 发出 GET 请求会发送什么?
获得64条用户信息。
继续分析main.js文件,找到了几条路径。其中通过admin/country-dashboard 绕过了所有访问控制,我以管理员身份进入应用程序
此时我已经在写我的报告了,但我继续用 Burp Suite 挖掘,并找到了更多信息:包括管理员的加密密码
我还能够从管理面板创建一个新帐户。但这足以证明发现的所有漏洞的严重影响。
声明:所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,作者不承担相应的后果.
原文始发于微信公众号(薯条机器猫):从登录界面到账号接管
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论