[每日福利]记一次奇葩的逻辑漏洞组合拳

温馨提示

本文章仅供学习交流使用，文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

日常浑水摸鱼，随缘性漏洞挖掘，找到一个在线打字系统，常规操作fuzz了一波目录，和js的接口莫得信息

转战用户注册功能点，先注册一个admin123的账号 密码为admin123，需要先发送邮箱验证码，截取响应包

发现存在success关键字的json数据，猜测可能是利用success的返回值在前端进行验证，验证成功则写入账号。说干就干，把false修改成true，成功注册

响应包修改为true

利用admin123 admin123 成功登陆

回到注册页面，尝试能否利用此逻辑漏洞注册覆盖掉管理员的账号密码，先利用自建的admin123测试，看看能否修改掉密码

先绕过用户存在检测，依旧与上面同出一辙，修改响应包的内容

这里只需要修改success

由于邮箱的依旧是不存在的，还是需要和之前一样修改响应包内容，false改成true

天有不测风云，正当我满怀欣喜，利用admin123 12345678 登录，成功登录

想再次看看admin123 admin123 能否成功登录，惊人的结果居然是也是能够成功登录！？！？！

现在的场景就是属于，admin123的用户存在两个密码，且两个密码都能够成功登录！？？

那岂不是可以修改全站用户密码，让用户多一个密码可以登录~

天道酬勤，在HTTP history里面发现获取用户信息的接口，

修改为1，重新发包 发现越权获得了其他用户的信息

既然返回了越权返回了用户的信息，尝试对全站用户进行遍历

在burpsuite上设置参数，可能是因为帅吧，在进行了一波操作后，通过Burp intruder模块的response grep过滤出用户id

越权到了管理员信息，拿到了管理员账户

直接配合之前的奇葩逻辑漏洞再新添一个管理员密码

进入后台成功

同时可以对文章进行管理

福利：

2020年hw行动中，出现了很多安全产品，CMS，oa系统的漏洞，想要一键获取hw漏洞总结文档嘛（带EXP），关注公众号并在后台回复hw_2020即可获取下载链接~