某企业SRC逻辑漏洞挖掘(菜鸟的呐喊)

tony_ge   ·   发表于 2021-07-08 14:51:32   ·   技术文章投稿区

一、开篇小互动

本贴是在某天上午摸鱼的时候写的,比较无聊,想着挖几个漏洞来赚点外快,填饱下肚子(猛男落泪),于是随便找了几个站点就开搞,但是挖洞历程属实艰辛(自己太菜了),愣是看了不出哪里有洞,于是给它来了一套踩点服务(信息收集)。收集C段信息的时候,发现一个后台管理系统,进去后输入一个admin/123456,发现直接进去了(嗯,不愧是yyds),进去后发现这个后台可不简单,是某个大企业的库存管理系统,而且该企业有自己的SRC平台,于是,从一个弱口令开始的漏洞一挖一麻袋历程开始了。

二、漏洞一挖一麻袋历程

白嫖了一个弱口令漏洞,心想该企业的其他子域名、旁站、C段内会不会也有薄弱点呢,于是带着猜想又开始了一系列对该企业域名的信息收集,皇天不负苦心人,终于在某个子域名处看到了端倪。
该域名承载的是一个企业子系统,登录界面有验证码,无法绕过进行账号密码爆破,于是放弃,但是该页面忘记密码的功能,进去瞅瞅


使用手机验证码的方式进行重置,随便输一个手机号,点击获取验证码,哦豁,提示该用户不存在,这是个好兆头,可以抓包跑用户手机号


当然,此处没啥太大的意义,毕竟最多只是泄露一个已注册用户的电话,但是接下来开发的一个逻辑处理让我摸不着头脑


可以看到,发送验证码的请求包内除了电话号码,还有个参数type,反转来了,将type的值由1改为0、2等数(当时只试过这两个),服务器端不会检查电话号码是否已注册,都会发送验证码


再利用前面的遍历漏洞可以对用户手机号进行短信轰炸,事情到这就结束了吗?嘿嘿,如果眼神好的同学可能在上一张截图的返回包内容看到了一些有意思的东西,没错,将type的值改掉之后,他居然将短信验证码的内容也一起返回了,神奇的脑回路果然是一撸到底,利用返回包内的验证码顺利就进入密码重置界面(因为使用的是之后测试的验证码,所以和前面的截图验证码一样,勿怪)


输入重置的密码,报错,显示用户不存在,意料之中,再次请求,抓包瞅瞅


如果前面遍历到了用户的手机号码应该可以重置了,当然,遍历到了手机号码也不用到这一步再换,前面就可以一套下来,懒得遍历到这里就结束了,但是一想这企业的开发脑回路这么清奇,还能账号遍历,于是再去该企业的具有登录、重置密码、注册的界面摸索一下,发现果然有,官网账号登录界面(官网登录界面有这个是真没想到),使用手机验证码登录的时候可以进行短信轰炸,这里有个小坑,我一直重放发送短信的请求包,最后几个不小心点快了,返回报错,在去登录界面瞅瞅,发现页面返回服务器异常,吓得我直哆嗦~~ 第二天再去访问的时候,页面正常,漏洞依然存在,这次控制好时间间隔(2s左右),没有出现昨天的情况(事后感觉有点头铁),该企业的挖洞之旅也到此结束了,几个漏洞一起提交了,企业SRC的奖励还是蛮丰厚的。。

三、小结

因为目前的工作原因,所以接触的大厂系统测试比较多,对于大厂的测试可以着重从逻辑漏洞出发,弱口令、支付漏洞、验证码绕过、越权等漏洞都是存在的,希望有学了课程但是还不敢挖洞的同学能在本贴中得到启发,web的漏洞还是有很多的,需要细心的去挖掘,在实战中学习。
(风哥能给几个币就更好了(狗头))

用户名金币积分时间理由
Track-聂风 60.00 0 2021-07-15 14:02:38 一个受益终生的帖子~~

打赏我,让我更有动力~

3 Reply   |  Until 9个月前 | 947 View

bnup
发表于 10个月前

请问赏金拿到多少

评论列表

  • 加载数据中...

编写评论内容

spider
发表于 10个月前

我不知道你有没有在返回包中发现shiro特征,不试试打shell吗?

评论列表

  • 加载数据中...

编写评论内容

hackter
发表于 9个月前


请问你学了多久

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.