温馨提示
本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
日常浑水摸鱼,随缘性漏洞挖掘,找到一个在线打字系统,常规操作fuzz了一波目录,和js的接口莫得信息
转战用户注册功能点,先注册一个admin123的账号 密码为admin123,需要先发送邮箱验证码,截取响应包
发现存在success关键字的json数据,猜测可能是利用success的返回值在前端进行验证,验证成功则写入账号。说干就干,把false修改成true,成功注册
响应包修改为true
利用admin123 admin123 成功登陆
回到注册页面,尝试能否利用此逻辑漏洞注册覆盖掉管理员的账号密码,先利用自建的admin123测试,看看能否修改掉密码
先绕过用户存在检测,依旧与上面同出一辙,修改响应包的内容
这里只需要修改success
由于邮箱的依旧是不存在的,还是需要和之前一样修改响应包内容,false改成true
天有不测风云,正当我满怀欣喜,利用admin123 12345678 登录,成功登录
想再次看看admin123 admin123 能否成功登录,惊人的结果居然是也是能够成功登录!?!?!
现在的场景就是属于,admin123的用户存在两个密码,且两个密码都能够成功登录!??
那岂不是可以修改全站用户密码,让用户多一个密码可以登录~
天道酬勤,在HTTP history里面发现获取用户信息的接口,
修改为1,重新发包 发现越权获得了其他用户的信息
既然返回了越权返回了用户的信息,尝试对全站用户进行遍历
在burpsuite上设置参数,可能是因为帅吧,在进行了一波操作后,通过Burp intruder模块的response grep过滤出用户id
越权到了管理员信息,拿到了管理员账户
直接配合之前的奇葩逻辑漏洞再新添一个管理员密码
进入后台成功
同时可以对文章进行管理
福利:
2020年hw行动中,出现了很多安全产品,CMS,oa系统的漏洞,想要一键获取hw漏洞总结文档嘛(带EXP),关注公众号并在后台回复hw_2020即可获取下载链接~