免责声明:文章来源于真实渗透测试,已获得授权,且关键信息已经打码处理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
前言
前段时间交过一次学校打包的漏洞,但其实只有储存型XSS有一定危害性,教育SRC平台也只评定为低危,给了 2 rank。不过学校修复速度还是蛮快的,而且把我提交的报告中存在的问题都进行了修复,甚至那个存在XSS漏洞的系统平台直接进行了升级。今天重新来对平台进行一个测试,看看有没有新发现。
一、越权删除信息
先看一下更新后的平台,感觉应该只是修复了之前的漏洞,然后升级了一下UI界面,并没有太大变化。
点击查看其中一个平台中发布的内容信息,利用burp进行抓包,发现参数 id ,随后多点击了几个内容信息进行查看,都存在此参数,根据参数值猜测这个 id 参数就是发布信息的编号。
后面继续点击各个功能点进行测试,又回到了之前测试出现XSS漏洞的功能模块中,但这一次有了新的发现。在发布内容后,信息栏里面有一个操作列,其中存在"预览"、"编辑"、"删除"三个功能按钮。"预览" 功能没有什么特别的,和刚刚直接点击查看别人发布的信息没有区别。而在点击 "删除" 功能的时候,我进行抓包,发现了一个有意思的参数。在这个POST请求包里面只存在一个参数—— ids ,而且这个参数的参数值和刚刚的 id 参数的参数值非常相似,于是便有了一个想法,这个两个参数值会不会是一样的。
在丢弃掉刚刚删除的请求包后,我又新建了一个测试的内容信息,然后查看新创建的内容信息,并进行抓包,可以看到新创建的内容信息的 id 参数是 6645 ,刚刚是 6643 。
我又重新点击了标题为 test 内容信息行中的 "删除" 功能按钮,并进行替换,将请求包中的 ids 参数替换为 6645 进行发包,返回包中响应了 ture 。
查看界面信息,标题为 test11 的内容信息确实被删除了。
后面经过测试,别人已经发布的内容也同样能利用该漏洞删除,证明存在越权漏洞,可越权删除他人已经发布的信息。(这里我忘记截图了,又不能随便删除这些内容信息,所以在漏洞报告里面只提交了burp删除的请求和回显信息,但利用方法是一样的,这里就不放图片了)
二、越权更改信息
刚刚已经测试了证明了存在越权删除信息的漏洞,那三个功能按钮中还有一个 "编辑" 按钮,就想着会不会出现同样的问题。随机进行了抓包,但这一次存在了多个请求流量包,其中有两个请求包都存在 id 参数,都放通后会进入内容编辑界面。
而且这次还出现了一个有意思的信息泄露,在上一次挖掘漏洞的时候有一个泄露学号和手机号的泄露,在查看整个系统界面的时候,响应包内会显示当前界面所有内容发布人的学号和手机号。而这次在测试的时候,其中一个请求包也是会泄露内容发布人的学号和手机号,而且只要更改请求包的id 参数就可以了,直接成了可遍历的漏洞。当然,这个漏洞依旧没有用,泄露的信息不属于重要信息范围。
因为不清楚这每个请求流量包的作用,我便将两个存在 id 参数的请求都更改为想要编辑的内容的 id 参数值后放通。之前已经查看过这个内容信息的 id 参数值了,就是文章开始抓包抓到的请求包,参数值为 6609 。
可以看见直接就进入了内容编辑界面,功能点也都在,在后面新加一句话测试内容进行提交。
不过在实际测试的时候出现了一个问题,之前用户提交的手机在这次提交时会产生报错,显示不是正确手机号。实在没办法,我就直接改了一个手机号,随便输入一个位数正常手机号就能发送了,不过为了不更改之前使用人的手机号我也在请求包内将手机号改了回去,也能直接放通,不知道为什么前端会出现一个这样检测。
看到回显了成功的弹窗,点击确认后查看刚刚修改的内容信息,可以看到 "test测试" 已经被成功写入了。
测试完成后,将测试添加的内容删除,尽量还是不要影响的原有的内容信息。
总结
再一次捡漏漏洞,这次的评级应该是中危了,两个中危漏洞,要比之前好一些。但是也反映了一个问题,在测试时就感觉到这个两个漏洞并不像是新出现的,因为系统平台的底层逻辑根本没有改变。也就是说,我在上次测试的时候这些漏洞就已经存在了,但是我并没有注意到。在之前太过于关注信息遍历的漏洞,一直想要拿到一个能够便利身份证信息的高危漏洞,但实际情况就是只拿到了一个低危,其他漏洞都没什么用,以至于错过了这两个越权的漏洞。
在挖掘漏洞的时候还是需要多总结一下经验和思路,尽量不要出现这种测试不到位的情况。很多时候,比如在攻防演练中都是争分夺秒的,这一个疏忽,可能分数就都被别人拿走了。
原文始发于微信公众号(网安日记本):漏洞挖掘—越权更改、删除信息
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论