某小型CMS厂商逻辑漏洞的过程

前景：在网易云学习的时候看到了某大型PHP网站的讲师，就浏览了一下网站，发现这是他们自己研究开发的一套CMS，就测试了一下是否某些用户交互的地方存在漏洞。

漏洞详情：

首先来到注册页面

先填写好信息，发送验证码到目标手机，验证码是4位数的，，所以直接输入1234抓包，forword包就可以注册成功了。

某小型CMS厂商逻辑漏洞的过程 渗透测试 第1张

这里我测试：13888888888  发送到repeater，直接go就注册成功

某小型CMS厂商逻辑漏洞的过程 渗透测试 第2张

某小型CMS厂商逻辑漏洞的过程 渗透测试 第3张

最后登录就ok了。

———————————–分割线—————————–

第二处漏洞(CSRF)：

在会员用户修改基本资料的地方

某小型CMS厂商逻辑漏洞的过程 渗透测试 第4张

点击保存 抓包

某小型CMS厂商逻辑漏洞的过程 渗透测试 第5张

利用burpsuite自带功能生成poc

这里我新开一个浏览器登陆另一个账号，也就是13888888888这个用户

把poc发给该用户，用户触发

某小型CMS厂商逻辑漏洞的过程 渗透测试 第6张

某小型CMS厂商逻辑漏洞的过程 渗透测试 第7张

页面提示修改成功，我们返回到基本资料处看看。

Ok，修改成功

某小型CMS厂商逻辑漏洞的过程 渗透测试 第8张

PS:该csrf触发后，用户资料被修改，并自动退出需要重新登录，这时候我们可以配合xss平台的键盘记录来记录用户登录的用户名和密码。

———————————–分割线—————————–

第三处漏洞(任意用户手机号密码重置):

在找回密码处用burp抓包

某小型CMS厂商逻辑漏洞的过程 渗透测试 第9张

发送到intruder一栏，设置变量为1234，然后开始枚举

枚举验证码，最多10000次成功，也就是一杯茶的功夫

可以看到，发现length的长度和别的不一样且只有一个，那么我们看一下他的返回值，是“密码修改成功”

某小型CMS厂商逻辑漏洞的过程 渗透测试 第10张

登陆试试：

成功！

某小型CMS厂商逻辑漏洞的过程 渗透测试 第11张