前期信息收集 发现该商城有3个不同端服务 分别是web ⼩程序 app 那么很有可能存在漏洞,常规的⼿法测试完后,没有发现任何漏洞。 技术太菜了,只能花钱买个商品测试它的整个流程有没有漏洞了。 本来只想测⼀下评论区 并发评论漏洞 结果有意外发现 每进⾏⼀次评论都会 赠送200积分,这200积分可以抵扣现⾦,不过最⾼为商品价格的%5,相当于100 积分=1rmb 直接不停的重放评论包 就可以实现⽆限刷取积分 最后也是侥幸获得了400赏⾦
发现APP端并没有解析,⼩程序端也没有解析,侥幸的是web端解析了
于是输⼊<img src=1 onerror=alert(2)> 结果返回403
有waf 试试看能不能绕过
<img src=1 onerror=(2)> 不拦截
1<img src=1 onerror=aler(2)> 不拦截 看起来是过滤了alert?
太菜了 不想绕了 于是随便输⼊⼀个payload
<img src=1 onerror=(alert)(2)> 也是侥幸绕过waf 成功弹窗
然⽽后台有⼀个评论筛选机制 只有经过筛选后的评论才能被其它⽤户看到。到这我就放弃了 当时猜想后台的筛选机制肯定会过滤这些字符的。但还是提交了 漏洞报告。结果审核让我证明不是self-xss,没法只能继续尝试了。
通过观察其它⽤户在评论区的评论
发现只有好评没有差评,猜想会不会没做任何过滤,只要刷好评就可以了?
于是在评论的地⽅输⼊ 商品很棒,推荐给⼤家,很满意。⼤家快来买啊<img src=1 onerror=(alert)(2)>
过⼏天再去评论区看 发现其它⽤户能看到我发送的评论了 但是标签不解析了
好家伙让我证明 结果修复了。
最后艰难battle 获得了400赏⾦
order_i_id=oid=xxxx&bn=xxx&sn=xx&order_id=xxx&rating=5&content=
经过测试 影响评论能否成功发送的参数是order_i_id=oid=123&order_id=123
它们都传的是订单编号 那么我们能不能直接获取订单编号
绕过付款收货流程 直接进⾏评论呢?
正常的流程是:
根据⽤户提交的商品信息⽣成订单——⽤户进⾏⽀付——进⼊发货状态——⽤户确认收货——⽤户
进⾏商品评价——后台发送积分
2漏洞的流程是:
根据⽤户提交的商品信息⽣成订单——利⽤订单号,⽤户进⾏商品评价——后台发送积分
提交商品信息后⽣成订单 返回⼀个订单号999 将订单号 填⼊其中 成功评论 获取到了积分
order_i_id=oid=999&order_id=999&rating=5&content=111
提交漏洞报告后 很快啊 审核忽略了我的漏洞。
最后也是艰难battle 获得了400赏⾦
其实这⾥还有个积分刷取漏洞 尝试提交⼀个漏洞后 说是不再收取了
感觉这⾥应该还有漏洞 以防万⼀ 先问⼀下再测。
翻看之前保存的数据包发现⼀个有意思的参数
3那么sp输⼊的值会被过滤吗?轻轻的插⼊<img src=1 onerror=(alert)(1)>
最后也是成功插⼊ 触发了弹窗
最后经过⼀番沟通也是喜提中危
原文始发于微信公众号(Z2O安全攻防):SRC | 艰难⼜侥幸的1洞变4洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论