寫在前面
昨天在和一位朋友的合作下,發(fā)現(xiàn)了某個(gè)授權(quán)站點(diǎn)存在邏輯漏洞,過程挺好玩也挺玄幻的,這里就拿出來寫寫,本人菜雞一枚,請(qǐng)大佬們勿噴~
過程
在對(duì)該站點(diǎn)進(jìn)行排查的時(shí)候,我發(fā)現(xiàn)了其中的登錄后臺(tái),便想著嘗試用弱口令試試是否能直接登錄。這里先嘗試賬號(hào)為12345,密碼為12345,它的錯(cuò)誤回顯如下圖:
嘗試賬號(hào)為admin,密碼為admin,它的回顯效果就不一樣了,說明當(dāng)服務(wù)器存在賬號(hào)時(shí)回顯如下,admin為真實(shí)賬號(hào),這里猜測(cè)還需要內(nèi)網(wǎng)環(huán)境
這些前期工作都摸清楚后,然后就開始進(jìn)入正題了。
路徑是:
https://x.x.x/portal/register/forgetPassword
這個(gè)url為忘記密碼的頁面,我嘗試修改密碼后再次登錄,看是密碼正確時(shí)是否能改登錄。
當(dāng)填寫登錄名時(shí),如果登錄名存在,則網(wǎng)頁會(huì)自動(dòng)填寫手機(jī)號(hào)碼
1.點(diǎn)擊獲取驗(yàn)證碼,目的在于要發(fā)送驗(yàn)證碼,模擬真實(shí)環(huán)境下手機(jī)獲取驗(yàn)證碼。
2.下圖為awvs掃描器中自動(dòng)測(cè)試的payload
/portal/register/forgetPassword?account=4111111111111111&btn=%e8%8e%b7%e
5%8f%96%e9%aa%8c%e8%af%81%e7%a0%81&code=94102&Cto=d47867b3be2f4f67aa693ddde6d7904d&msgCode
=94102&password=g00dPa%24%24w0rD&phone=555-666-0606&repassword=g00dPa%24%24w0rD
Payload中94102為awvs掃描時(shí)發(fā)送的驗(yàn)證碼,于是我開始用這個(gè)驗(yàn)證碼嘗試測(cè)試,這個(gè)驗(yàn)證碼可能是批量掃描出來的長(zhǎng)度以及形狀,剛好符合網(wǎng)站驗(yàn)證碼長(zhǎng)度(5位數(shù))
注:awvs掃描器的payload中phone參數(shù)與網(wǎng)頁電話不一致
3.輸入94102驗(yàn)證碼,發(fā)現(xiàn)會(huì)自動(dòng)清除,驗(yàn)證碼已過期(在這里短信驗(yàn)證碼是當(dāng)你輸入完成后就執(zhí)行匹配命令的,不用點(diǎn)擊確認(rèn)按鈕再執(zhí)行匹配命令),于是這個(gè)時(shí)候我想到了萬能密碼,萬能密碼能在登錄表單繞過登錄的限制,那在驗(yàn)證碼表單繞過sql查詢語句,當(dāng)輸入1' or 1='1?時(shí)為True,因?yàn)檩斖耆f能密碼后,服務(wù)器開始匹配(這時(shí)候沒有自動(dòng)清楚驗(yàn)證碼),網(wǎng)頁出現(xiàn)卡頓狀態(tài)。
在驗(yàn)證碼表單輸入1' or 1='1,當(dāng)出現(xiàn)網(wǎng)頁卡的現(xiàn)象時(shí)刷新頁面
4.網(wǎng)頁卡頓一段時(shí)間還沒有好,我執(zhí)行了一下刷新,發(fā)現(xiàn)驗(yàn)證碼沒有被服務(wù)器重置,于是我填寫剩余的表單內(nèi)容,并且提交,提交后網(wǎng)頁繼續(xù)卡頓,此時(shí)并無回顯更改成功。
5.等網(wǎng)頁卡頓一段時(shí)間后無回顯,執(zhí)行刷新,網(wǎng)頁刷新狀態(tài)如下,將驗(yàn)證碼替換為94102,這個(gè)時(shí)候驗(yàn)證碼有效并且不會(huì)卡頓,不會(huì)被網(wǎng)頁清理。(個(gè)人覺得是剛剛的萬能密碼讓服務(wù)器識(shí)別了一次驗(yàn)證碼的驗(yàn)證操作,但是沒有執(zhí)行更改密碼的操作,當(dāng)再次刷新頁面的時(shí)候萬能密碼還在,服務(wù)器已經(jīng)將此驗(yàn)證碼標(biāo)為True,但是剛剛執(zhí)行完全部操作無正確回顯。所以我決定更換一個(gè)驗(yàn)證碼,此時(shí)驗(yàn)證碼不會(huì)被重置,再次輸入更新密碼時(shí)成功更改。)
輸入我們定義的密碼即可修改成功。
更改后的賬號(hào)密碼為admin/Admin888,嘗試登錄發(fā)現(xiàn)還是有網(wǎng)絡(luò)環(huán)境的限制。
嘗試賬號(hào)密碼admin/Admin888 回顯效果不一樣,說明當(dāng)服務(wù)器存在賬號(hào)時(shí)回顯如下,admin為真實(shí)賬號(hào),猜測(cè)需要內(nèi)網(wǎng)環(huán)境
嘗試賬號(hào)密碼12345/12345,回顯效果不一樣,這可以證明上面那一點(diǎn)
這下該怎么辦呢?我仍然不想放棄。在查看了該站點(diǎn)的通知公告等信息之后,找到了一些供應(yīng)商等信息,這時(shí)我突然想到可以用統(tǒng)一社會(huì)信用代碼進(jìn)行嘗試。
這里先說一下統(tǒng)一社會(huì)信用代碼究竟是個(gè)啥:
統(tǒng)一社會(huì)信用代碼是一組長(zhǎng)度為18位的用于法人和其他組織身份識(shí)別的代碼。統(tǒng)一社會(huì)信用代碼(18位)包含了組織機(jī)構(gòu)代碼(第9-17位)和稅務(wù)登記證號(hào)碼 (第3-17位),因此,可以說,統(tǒng)一社會(huì)信用代碼和組織機(jī)構(gòu)代碼不是一個(gè),但有著非常密切的聯(lián)系。 統(tǒng)一社會(huì)信用代碼是一組長(zhǎng)度為18位的用于法人和其他組織身份識(shí)別的代碼。
然后我找到了很多個(gè)供應(yīng)商的統(tǒng)一社會(huì)信用代碼,將這些統(tǒng)一社會(huì)信用代碼當(dāng)作賬號(hào),經(jīng)過前端輸入賬號(hào)密碼登錄時(shí)的提示,發(fā)現(xiàn)挺多用戶都存在的。再次使用上述的方法任意修改密碼,都成功了,并且成功登錄了進(jìn)去。這里我就以其中一個(gè)為例:
成功修改
成功登錄
其中涉及到一些敏感信息,都已經(jīng)打碼。
至此,完成此次滲透。
來源:安全客