最近被派发了新任务,又开始测试了,测试中发现一个有意思的点于是记录下来。
1 前言
原漏洞已全部报送并修复。本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
2 入口
目标中发现一个查询服务平台,该平台仅提供登录功能,且点击登录后会直接跳转至统一认证系统。
统一认证可以选择其他登录方式直接扫描登录,这样的话相当于自动注册了。
抓包分析显示,扫码登录首先调用第三方接口验证,成功后跳转至原站点登录接口,并自动生成账号、密码及 Uuid。
通过 UserName、PassWord 和 Uuid 可以获取用户的 Token。这里猜测既然是快捷登录,那么密码应该是一致,而Username则是有规律的。但因缺少有效的 Uuid,没办法直接爆破测试获取 Token。只能先利用自身账号进入后台抓包测试其他位置。
3 后台
GET /prod-api/xxx/xxxxuser/profile HTTP/1.1Host: xxx.xxx.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36Accept: application/json, text/plain, */*
GET /prod-api/xxx/xxxxuser/id HTTP/1.1Host: xxx.xxx.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36Accept: application/json, text/plain, */*
4 总结
统一认证扫码登录机制-> 个人中心敏感信息泄露 -> 收货地址功能发现可遍历 ID -> 替换个人信息接口参数批量获取用户名和 Uuid -> 利用已知用户名、密码猜测和泄露的 Uuid获取用户 Token -> 接管全站用户。
原文始发于微信公众号(shadowsec):一次渗透从统一登录到全站用户接管
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论