记一次对某社区登录界面的漏洞——XSS漏洞、用户信息提示漏洞

yuweijie   ·   发表于 2021-04-26 16:40:42   ·   实战纪实

一.登录用户信息提示漏洞

1.用户名错误,密码正确(我拿了自己的账号测),此时极有可能存在信息提示漏洞。

2.用户名正确,密码错误,这时确定了,存在此漏洞。

3.请继续往下看!

3.1)可以利用登录提示的信息,进行用户名或者密码的爆破。不过前提是没有验证码,可惜,这里有验证码。
3.2)有验证码的,就必须尝试对验证码进行攻击,这里我使用了验证码的爆破、重复提交、客户端回显、绕过等方式,均无效果。
3.3)经过测试验证码,我偶然发现了一个DOM型XSS漏洞!

二.DOM型XSS漏洞 (风哥不认)

1.验证码验证失败时,在返回的响应中存在Native编码的数据,此时我想到了document.write函数。

2.测试XSS,将<img src=# onerror=alert(1) /> 进行Natice编码后,插入其中。

3.请继续往下看!

3.1) 当进行完XSS验证后,我就尝试是否存在SQL注入,经过测试后,并没有发现SQL注入。
3.2)测试完SQL注入后,我发现,页面没有对登录的次数做限制!于是根据信息提示的漏洞,我想到了利用爆破!
3.3)可惜有验证码,这样的话,利用BP的Intruder模块进行爆破的想法破灭。但没关系,我有手!

三.手动爆破用户名和密码!

1.手动爆破,顾名思义,手敲用户名和密码的字典,进行爆破!发现一个账户!

2.登入成功!查看编辑资料中的个人信息!发现只有电话号码,显示来Track已经40天,不知道是哪个大佬的账户

3.请继续往下看

3.1)那个电话我打了,南昌的嗷~~
3.2)在我登入的时候,我又发现了漏洞!这里就暂时不写了,因为还不确定,就留到下篇吧····
用户名金币积分时间理由
zz风过无痕 10.00 0 2021-04-30 10:10:21 一个受益终生的帖子~~
Track-聂风 30.00 0 2021-04-29 21:09:01 鼓励发帖

打赏我,让我更有动力~

1 Reply   |  Until 17天前 | 325 View

Track-聂风
发表于 17天前

你改返回包证明有XSS,这个我铁定不能认呀。
其他的两个我觉得还有点道理
第一个应该要调整为账号或密码错误
第二个应该要限制登录次数,登录5次锁死你

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者