扫码领资料
获网安教程
本文由掌控安全学院 - kpc 投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
一、站点选择
依旧是按照可注册进站的思路搜索资产,因为是打证书站所以只需要按照域名搜索即可,关键字中加上注册,后台等即可,具体语法在Track社区的其他文章已经给出,有兴趣的大佬可以去看看。
一番搜索后,确定了某管理系统:
由图也有注册功能,而且是用sfz注册的,我们直接用burp插件生成一个虚拟的注册即可。
二、逻辑漏洞
进入后,光秃秃的一片,一个功能点也没有,仅有右上角的修改密码功能:
相信大家看到这里已经发现了,修改密码不需要原密码,这就很有可能产生越权,我们抓包测试,发现删除token依旧可以修改成功,所以鉴权就靠的是账号也就是sfz:
注意图中没有任何token,cookie等,也可以说是未授权修改密码。
到这里肯定是不够高的,说不定连中都不到,因为修改密码靠的是sfz了,这个sfz我们也是不容易搞到的,所以危害并不大,这就像有的系统鉴权靠的是一串不能遍历的数字(有一定的规律再加上时间戳生成的),虽然可以创建两个号证明存在越权,但是并不能产生实质性的危害。
三、接口fuzz
本来到这里我已经准备放弃了,后来注意到上面修改密码的接口是xxuser/changepassword,一看到user这个敏感词,我就想到了接口fuzz,一般的开发都会把查询用户的接口设计成/user/list,/user/info,、/user/query,/user/page等这样类似的接口,于是我突发奇想,把chagepassword改成了list,结果直接出现了所有用户的信息:
又因为该系统注册靠的是sfz,所以username就是sfz,不仅获取了大量sfz还能将上面的修改密码接口加以利用,间接造成所有用户账号密码修改,最后修改了一名用户的账号密码证明确实存在:
最终提交漏洞至平台,高危10rank拿下
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):记一次接口fuzz+逻辑漏洞拿下证书站高危
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论