记一次接口fuzz+逻辑漏洞拿下证书站高危

admin 2024年12月1日22:53:30评论9 views字数 946阅读3分9秒阅读模式

扫码领资料

获网安教程

记一次接口fuzz+逻辑漏洞拿下证书站高危

记一次接口fuzz+逻辑漏洞拿下证书站高危

本文由掌控安全学院 -   kpc 投稿

Track安全社区投稿~  

千元稿费!还有保底奖励~(https://bbs.zkaq.cn)

一、站点选择

依旧是按照可注册进站的思路搜索资产,因为是打证书站所以只需要按照域名搜索即可,关键字中加上注册,后台等即可,具体语法在Track社区的其他文章已经给出,有兴趣的大佬可以去看看。

一番搜索后,确定了某管理系统:

记一次接口fuzz+逻辑漏洞拿下证书站高危

img

由图也有注册功能,而且是用sfz注册的,我们直接用burp插件生成一个虚拟的注册即可。

二、逻辑漏洞

进入后,光秃秃的一片,一个功能点也没有,仅有右上角的修改密码功能:

记一次接口fuzz+逻辑漏洞拿下证书站高危

img

相信大家看到这里已经发现了,修改密码不需要原密码,这就很有可能产生越权,我们抓包测试,发现删除token依旧可以修改成功,所以鉴权就靠的是账号也就是sfz:

记一次接口fuzz+逻辑漏洞拿下证书站高危

img

注意图中没有任何token,cookie等,也可以说是未授权修改密码。

到这里肯定是不够高的,说不定连中都不到,因为修改密码靠的是sfz了,这个sfz我们也是不容易搞到的,所以危害并不大,这就像有的系统鉴权靠的是一串不能遍历的数字(有一定的规律再加上时间戳生成的),虽然可以创建两个号证明存在越权,但是并不能产生实质性的危害。

三、接口fuzz

本来到这里我已经准备放弃了,后来注意到上面修改密码的接口是xxuser/changepassword,一看到user这个敏感词,我就想到了接口fuzz,一般的开发都会把查询用户的接口设计成/user/list,/user/info,、/user/query,/user/page等这样类似的接口,于是我突发奇想,把chagepassword改成了list,结果直接出现了所有用户的信息:

记一次接口fuzz+逻辑漏洞拿下证书站高危img

又因为该系统注册靠的是sfz,所以username就是sfz,不仅获取了大量sfz还能将上面的修改密码接口加以利用,间接造成所有用户账号密码修改,最后修改了一名用户的账号密码证明确实存在:

记一次接口fuzz+逻辑漏洞拿下证书站高危

img

最终提交漏洞至平台,高危10rank拿下

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

记一次接口fuzz+逻辑漏洞拿下证书站高危

原文始发于微信公众号(掌控安全EDU):记一次接口fuzz+逻辑漏洞拿下证书站高危

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月1日22:53:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次接口fuzz+逻辑漏洞拿下证书站高危http://cn-sec.com/archives/3455461.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息