0x01 前言
最近觉得需要打磨打磨挖src实战的能力,所以找了一个简单的站点耐心地尝试一个一个数据包去挖,总结出来最重要的一点就是耐心了,可以看到在前面一两天经历波折,耐心挖到后面几天才慢慢出点成果。
末尾可领取挖洞资料文件
0x02 漏洞发现
1.信息收集,过程敏感,此处省略。。。
2.当我通过信息收集拿到身份证号 + 学号,通过谷歌语法拿到了初始密码为:身份证后6位 .开始进入统一认证
目标:https://xxxxx.edu.cn/cas/xxx/index.html
2.话不多说,填写账号密码,登录。我擦进入到了修改初始密码的界面。
并且界面的url还很有特色
url1:https://xxxx1.edu.cn/xxxxx/xxxx/change?userName=20070003041&passWord=6659735adxx42cf2f594f5969d4deac9019308&service=https://xxxx1.edu.cn&state=1
先不管那么多,我先试试这个学号密码是否可以修改,当我输入原密码完成,点击输入新密码时,因为原密码我多打了一个空格,(弹框)提示原密码输入错误。
激动,不用说就是前端校验,前端的一切可控。它上面username字段就是我们要修改的账号,既然如此,那我们把这个username改成别的学号是否就造成了任意用户修改了那?
3.到这里思路就明确了,修改url参数,造成任意用户登录,输入原始密码,在点击新密码框的时候,他会发送一个验证原密码的数据包,来验证你当前账户的密码是否正确。
注意:别的网站它这里参数可能也是post请求,get请求再看不到的情况下,抓包查看。
修改 username为:2170003040
url2:https://xxxx1.edu.cn/xxxxx/xxxx/change?userName=20070003040&passWord=6659735adxx42cf2f594f5969d4deac9019308&service=https://xxxx1.edu.cn&state=1
经过测试,后面的password没有任何用处,删除后同样可以访问。
4.原密码随便输入:抓包
5.修改返回包flag=1,绕过验证。继续填写新密码,这里就1234567a ,点击确定。抓包,这里他又来了一次校验原密码(和第一次的数据包一样可以绕过)。仅需修改flag。
修改完校验原密码的数据包,最后一个包就是修改我们密码的包,这里不需要修改,直接放包。(因为这里如果还有校验,那么就绕不过去了,幸运的是,最后一个数据包值包含了账号,新密码,没有再次对原密码进行校验)
6.返回,统一认证登录界面,输入账号密码,登录
思考:就这样就完了???,可能吗。身为菜鸡的我,挖一个到一个edu多不容易。
继续深入探讨。我又把重置密码的链接放到无痕浏览器 试试可不可以访问成功,思路一来 这就开始动手。
打开无痕,可以访问,未授权重置别人密码,Ok.
我还是不甘心,一个学院又有什么意思,看这个url路径有点像某系统,直接批量搜一下。
站点二:
拼接站点一的url:https://xxxx2.edu.cn/xxx/xxx/changePwd/change?userName=26670603041&passWord=6659735ad424xxxx4f5969d4deac9019308&service=https://xxxx2.edu.cn&state=1
呕吼,这小通杀就来了,下面的就不进行演示了,拿到一个小通杀。顺手刷了一波:
0x03 最后
遇到问题还是要多思考。修改初始密码也不要放过。一些功能点,多去尝试,细心观察。该漏洞运气成分很大,预祝各位师傅天天拿通杀。喜欢的师傅可以点赞转发支持一下谢谢!
0x04
原文始发于微信公众号(渗透安全HackTwo):记一次某平台的任意密码重置漏洞挖掘|挖洞技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论