补天专属SRC高危+中危漏洞挖掘全过程

zkaq840490109   ·   发表于 2020-06-05 19:46:33   ·   实战纪实

1.确认目标


虽然漏洞的范围只限定了2个域名,但我看简介说也收中国残联信息中心及同级别单位的漏洞,所以如果补天的大佬不细心看的话肯定有漏网之鱼的。
于是直接通过www.cdpf.org.cn,service.cdpf.org.cn这两个网站爬残联的其他网站,于是找到了 有问题的目标



为什么我会选择这个网站呢?有2个原因,1.可以注册,但注册用户受到限制,未通过审核无法使用正常功能(这样的站其他白帽子的基本会忽略注册功能)2.交互性强,灵活的地方往往会出现许多问题,而功能越单一的页面,出问题的地方越少。

2.测试

漏洞一

开始的时候我找到一个存储型xss然后貌似有http_only,打到了东西,但没有session还被审核怼了.
于是我把目标放在了逻辑漏洞上
逻辑漏洞一般都是测各个功能点,于是一个个功能点测吧,抓包开起来
注册一个账户


这里第一个,和第二个键值我都无法控制,而且还进行了加密
看意思应该和工作相关的,于是我大胆猜想了下,这个包是发出面试邀请的,哪肯定有邀请人,被邀请人,以及招聘信息
,我们能控制的是招聘信息,哪其他2个值是不是就是邀请人和被邀请人呢?
于是我打开其他公司的招聘信息


虽然键不同,但值的格式是一样的,于是我把他的ID替换到jobid上,发送


看返回包,感觉有戏
最后证明


成功,代替其他人发出了招聘邀请

漏洞二

有了第一个漏洞的思路,其他就好找了


抓包


就一个内容,很明显他就是招聘信息的ID了,虽然他加密了,但这加密的作用只是不能穷举,而这个招聘id我可以轻易从其他公司的招聘信息上找到


把他的ID替换到删除的包上
结果:


成功删除

漏洞三

这个漏洞审核没通过,我猜是没有敏感信息(补天是看影响的不看漏洞种类的

这个漏洞发现他就需要细心了,因为他表面看上去,不能使用任何功能,也没有啥显示
抓包


但返回包却显示了简历信息
通过控制pagenum进行翻页,其中memberId参数为简历id,对相应id进行访问


因为没啥敏感信息就没得奖励

3.结果


其实挺简单的,只要认真听风哥讲的课,补天的专属花点时间肯定有收获的。
门门流弊(破音)

用户名金币积分时间理由
奖励系统 100.00 0 2021-03-26 09:09:57 投稿满 10 赞奖励
奖励系统 50.00 0 2020-07-14 14:02:32 投稿满 5 赞奖励
admin 150.00 0 2020-06-08 17:05:18 支持!

打赏我,让我更有动力~

2 Reply   |  Until 2020-6-18 | 2675 View

mq
发表于 2020-6-8

师傅TQL

评论列表

  • 加载数据中...

编写评论内容

斐鸽
发表于 2020-6-18

卧槽,这就1100大洋到手了吗?

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.