记某次信息泄露漏洞的挖掘实战

lbclbclbc   ·   发表于 2022-01-27 10:41:07   ·   漏洞文章

来论坛大半年了,发个处女贴试试水(两处信息泄露,并成功进入后台)。
首先声明授权测试很重要,禁止非法日站
一、对方就给了一个目标单位的名称,那我们首先要做的肯定就是信息收集。whois、端口、子域名、c段、邮箱、手机号……
第一处信息泄露:
我先是通过子域名收集到了好几个资产。其中有一个可以fuzz出手机号。步骤如下:


是一个报修系统,点进网络故障看看


很快,fuzz发现,开发的设计逻辑有问题。
原因:当搜索条件输入手机号为1时,会出现一大堆搜索结果。当在搜索条件输入手机号为13(随便输的)时会发现搜索结果又少了一些。此时猜测是按照条件的匹配度进行筛选的结果,因此只需要在手机号后边从0-9遍历加到后边,并且测满11位数就是一个系统真实存在的手机号。可以看到结果一共是5000多页,说明存在大量个人手机号泄露。


第二处信息泄露:
随即我们来到另外一个子域名的资产下,是一个统一身份认证系统:


看到手机号码登陆首先想到的是短信轰炸,于是开开心心的跑到接码平台找了个手机号输进去,纳尼?,不存在此手机号……
于是乎想起刚刚收集的手机号,不试不要紧,一试,嘿嘿~
填入手机号抓包(拦截返回包查看):


好家伙,直接泄露用户信息,包括登陆的账号密码:


然后就直接利用账号密码登陆了:


后面还挖掘了很多。就不一一分享啦!最后想说的就是:信息收集真的很重要~

用户名金币积分时间理由
Track-劲夫 30.00 0 2022-01-27 11:11:03 一个受益终生的帖子~~

打赏我,让我更有动力~

1 条回复   |  直到 2022-1-27 | 1285 次浏览

Track-劲夫
发表于 2022-1-27

哦吼吼,后面还有挖掘到什么有意思的可以补充一下吗

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.