漏洞挖掘｜一次“平淡”的漏洞挖掘.docx

本文由团队大佬miniboom记录编写，希望大家能有所收获～

0x01 任意用户登录和提权管理员权限

首先打开页面是这样子的：

客户提供了测试账号，工号是8位数字，首先输入正确的工号，然后在密码处输入'or'1'='1，根据登录结果来看，sql尝试暂时没有多大效果，将xxxxxx94改成xxxxxx95工号，使用94的密码，也是同样的认证失败。

于是输入正确的账号密码，放到repeater中进行重放，返回包里的Location字段存放了重定向地址，并带了access_token值。

再次点击Follow，进入简简单单的登录成功界面。

但是登录接口这里我觉得可以操作一下，我修改了username字段，将xxxxxx94，改成了xxxxxx95，并重放，得到了另外的token值。

然后继续点击Follow。suprise~进入管理员页面来了。

再后来，我把登录接口的Referer换成管理员管理界面URL，尽管登录普通账号，也仍然可以进入管理界面，拥有管理权限。

那到此，就有了两个高危：

• 任意用户登录
• 普通用户提权管理用户

0x02 越权和严重的信息泄露(账号密码)

让我们再回到这个普普通通的登录首页，点击作业辅助，是一串列表。

抓取该请求包。

GET请求后有数字1408055，感觉会有越权，那么就试试跑一波。

老越权了。

但是我们看到它的返回包中，有个Authonization字段，看样子像是base64解密，拿到decode进行解密一波。

爆出了另外用户名和密码。。。

这里又有两个漏洞：

• 越权
• 敏感信息泄露---账号密码

0x03 总结

测试比较常规，但有个地方不是很常规，就是，在页面手动登录时，工号和密码对应不上会提示验证失败，在repeater后成功通过验证后，再次修改username变成其他编号的时候，就又可以获取对应用户的token了。这是神奇的地方，由此开始了获取管理员token，以及反推通过修改referer就可以提权至管理员的漏洞。

这个系统虽一共就3个页面，但存在4个漏洞，但是对待每次的测试就像全新的一次冒险，尽力探索，总会有惊喜。