记一次某购书系统渗透

前言

因为不想摸鱼玩游戏，所以有了这篇文章，本次渗透总共六个漏洞，其中三个都为逻辑漏洞。（本菜鸟只能挖挖逻辑了www）

信息泄露(1)

因为没有测试账号，登录也有次数，实在进不去就扫了扫端口，找到了后台登陆页面。

孩子们，what can i say

信息泄露(2)

admin账户登陆后，抓包查看用户信息

密码为md5加密，cmd5可解

水平越权

获取一个普通权限账号dev，点击订单管理并抓包

对userid参数进行数值1-50爆破，爆破出17，21

可以看到对应用户数据

垂直越权

依旧是普通权限dev账号

用dev账号请求admin的修改用户密码的接口 添加{"userName":"admin"}参数

可以成功修改任意用户密码。

任意文件上传

我想着这种系统应该是有上传点的，但苦于各个功能点都翻遍了也没找到，百无聊赖中翻了翻js，还真有意外之喜

接口无校验，可以任意文件上传

但是上传后回显的落地地址为内网地址，url拼接也找不到上传的马子，有点诱惑为什么会直接传到内网机子里

任意金额修改

因为知道是购书系统，直接点进购书页面测一下支付逻辑

点击立即购买发现抓到了两个请求

通过请求发现第一个请求是应用内订单生成的请求，第二个是域名的订单购买请求。

可以看到订单金额和 sign 签名。此处有 sign 签名，不好篡改金额，放过去再看看。

点击买单后抓包

可以看到是 post 数据，并且无 sign 签名，尝试篡改金额为 0.01并放包

成功绕过校验，还是不够严谨啊。希望多来点这种系统，酷酷出洞太爽了。