实战|记一次逻辑漏洞的挖掘

点击蓝字 关注我们

大家好，我是擅长唱，跳，rap以及挖洞，一大清早的，某位大佬呢，给我推了个站，说有XSS漏洞

大佬是昨天半夜告诉我的，刚起来的我，睡意朦胧。直接打开电脑，开搞！！！

先来一波whois，做好信息收集，有点东西嘛，居然是个权六，不过呢，权重这个东西，是可以做的，我也没太在意。

起先我按照这个大佬提供的信息，去走了一波流程

发现的确存在XSS，但是需要去bypass，否则安全狗会拦截。

既然已经挖掘到了，而这个又不是我自己去亲身挖掘到了，所以不算是我的。

于是我突发奇想，跳开只存在XSS的想法，开始对这个站点进行其他的漏洞挖掘。

首先我们先走一回正常的流程:

注册>登陆>。。。。等等

注册过程我就不写出来了，大家可以自己去测试。

我目标盯向了忘记密码这处地方，说白了就是找回密码这个地方

这时候就得祭出神器:Burpsuite

毕竟在做漏洞挖掘的时候，burpsuite一直是我的得力助手，不可缺失的助手

走了一波正常的流程

这里需要我们进行选择，点击进去然后配置好代理

我们开始抓包

这个是我的用户名，我把它放到Repeater这个模块

进行反复的测试

回显全部都是200正常，而每次点击都会有短信发送到我的手机里

所以我们可以暂定，存在逻辑漏洞

于是我用我表弟的手机进行了测试，又是一个熟悉的流程，又是无数条信息

这里我就不把那份截图发出来了。

既然，到这了。就结束了吗

并没有，我可能已经丧心病狂了吧

我又有了新的想法，既然我能测试自己，证明我能测试已知的手机号

但是当我随便测试的时候，发现得需要在这个网站注册过的用户才可以进行测试

于是我就在网站上面闲逛，想要看看能否找到这个网站相关用户的手机号

不得不说，我是幸运的，果然都说挖洞三分靠运气，这是真的。

每个商品的下面都有商家的手机号，我起先以为只有这么一个，但是看了其他我发现这不是巧合。

于是我就去测试了一下，发现这个手机号就是商家注册这个网站所用的手机号

再次按照刚才的步骤

又是熟悉的画面，说不定商家会听到熟悉的声音

基本可以实锤这是一个逻辑漏洞，而且是那种短信轰炸！这是网站致命的地方，一旦被不法分子利用，就会变成市面上那种短信轰炸机。这也是短信轰炸机的原理。

这个网站自身并没有对验证码获取的次数以及间隔失效进行防范，这也是导致这个漏洞出现的原因。