EDUSRC-证书站挖掘-逻辑漏洞篇

admin
admin
admin
137432
文章
113
评论
2024年3月6日09:55:49评论29 views字数 1893阅读6分18秒阅读模式
 

一眼定睛

EDUSRC-证书站挖掘-逻辑漏洞篇

没错,就是他了

重生之鹰图语法:

icp.name="四川大学"

&&web.body="注册"

&&web.body="登录"

很快哈,一眼定睛个系统

EDUSRC-证书站挖掘-逻辑漏洞篇

注册好一个用户后,来到忘记密码功能

EDUSRC-证书站挖掘-逻辑漏洞篇

这里先输入正确的验证码,然后下一步进行抓包

EDUSRC-证书站挖掘-逻辑漏洞篇

抓取响应包

EDUSRC-证书站挖掘-逻辑漏洞篇

这里的302跳转到重置密码是依靠Location:

/index.php?&m=User&a=resetPwd&_t=1705471852&mobile=1881924****
参数中的_t来认证
经过多次尝试发现:

HTTP/1.1 302 Moved TemporarilyServer: *Date: Wed, 17 Jan 2024 06:10:52 GMTContent-Type: text/html; charset=utf-8Connection: closeExpires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheLocation:/index.php?&m=User&a=resetPwd&_t=1705471852&mobile=1881924****HTTP/1.1 302 Moved TemporarilyServer: *Date: Wed, 17 Jan 2024 05:10:12 GMTContent-Type: text/html; charset=utf-8Connection: closeExpires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheLocation:/index.php?&m=User&a=resetPwd&_t=1705468212&mobile=1881924****Vary: Accept-EncodingContent-Length: 0HTTP/1.1 302 Moved TemporarilyServer: *Date: Wed, 17 Jan 2024 05:23:51 GMTContent-Type: text/html; charset=utf-8Connection: closeExpires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheLocation:/index.php?&m=User&a=resetPwd&_t=1705469031&mobile=1881924****Vary: Accept-EncodingContent-Length: 0HTTP/1.1 302 Moved TemporarilyServer: *Date: Wed, 17 Jan 2024 05:33:39 GMTContent-Type: text/html; charset=utf-8Connection: closeExpires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheLocation:/index.php?&m=User&a=resetPwd&_t=1705469619&mobile=1881924****Vary: Accept-EncodingContent-Length: 0

我们会发现Location:

/index.php?&m=User&a=resetPwd&_t=1705471852&mobile=1881924****
这里进行输入多次正确验证码后下一步抓响应包,发现_t=17054是固定不变的,只需要遍历后5位爆破,从而达到成功重置密码的效果

EDUSRC-证书站挖掘-逻辑漏洞篇

(这里的重置密码页面并不能直接重置,因为有&_t=后面为鉴权的东西,所以需要遍历出来)
由于有WAF,需要Burp挂上代理池来遍历_t的参数进行爆破,这里使用的是快代理

EDUSRC-证书站挖掘-逻辑漏洞篇

EDUSRC-证书站挖掘-逻辑漏洞篇

这个包是如下图重置密码点击确定,然后对Referer头的_t=17054后5位进行Add

EDUSRC-证书站挖掘-逻辑漏洞篇

EDUSRC-证书站挖掘-逻辑漏洞篇

EDUSRC-证书站挖掘-逻辑漏洞篇

直到跑出正确的为止(跑出Length的长度不一样)

EDUSRC-证书站挖掘-逻辑漏洞篇

EDUSRC-证书站挖掘-逻辑漏洞篇

EDUSRC-证书站挖掘-逻辑漏洞篇

也是成功拿下证书

EDUSRC-证书站挖掘-逻辑漏洞篇
 

原文始发于微信公众号(不秃头的安全):EDUSRC-证书站挖掘-逻辑漏洞篇

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月6日09:55:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   EDUSRC-证书站挖掘-逻辑漏洞篇https://cn-sec.com/archives/2550507.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息