渗透实战：csrf+逻辑漏洞的任意账号劫持

其实一开始只挖到基于CSRF的文件下载,估计就是个低危,也没什么技术含量就是最基础的csrf利用,,不过将低危提升到高危的过程倒是挺有意思的.下一个漏洞是基于这个漏洞的,就一起放上来讲一下

先登录模拟受害者的账号1

选一个文件点击下载 别问我为什么选了个治疗脱发的文件,免费区第一个就是,真不是我秃

burp抓包下载请求

然后利用burp自动生成一个PoC 吐槽一下机翻汉化,PoC发电机是什么鬼......

浏览器中测试,复制url到浏览器

注销,换到模拟攻击者的账号2

成功下载,csrf漏洞成立

发送csrf请求

后来我又去测了一下密码重置页面,发现重置密码会后台验证旧的密码,也绕不过去,感觉漏洞挖掘陷入僵局,但不太想挖个低危就交上去,不死心又测了一下别的

直到我测到了这里:

这是原来的页面

这是我修改个人信息后的页面

老样子,点击提交,抓包,构造PoC

重点来了:

我们要在这里点击废包,把刚刚提交的修改请求Drop掉,具体原因后面讲

然后换号

发送csrf请求

当时第一次测的时候的没有废包,弹的提示是个人信息修改失败 邮箱已被占用,

测到这的时候,我感觉这是个垃圾洞(个人信息修改没什么危害,还是和上面的csrf基于同样的原理,并不能给改变这是个低危的事实),再CSRF再测也就这样了

然后我就跑去测别的了

测着测着我突然想起来......

刚刚提示的是邮箱占用不是手机号占用.....

于是我就又来了一次,不过这次点了废包,提示修改成功,账户劫持成立

然而账户单纯的账户劫持是损人不利己的事情,因为攻击者其实拿不到什么好处,只能重置掉别人的账号所绑定的手机号为自己的,还是危害不大

但是意识到既然手机号被改绑定了,那么用账号密码登录的时候会不会存在一个手机号有两个密码,两个密码都能登录到各自的账户的情况

但是结合实际情况,作为攻击者我确实重置了受害者的账号,但是我并不知道受害者的密码,没法登录受害者的账号,于是我想到了密码找回功能

发送重置密码短信,将密码改为自己设置的密码

用刚刚重置的密码登录

成功登录上了受害者的账号

然后尝试用攻击者自己的账号和密码登录

成功登录攻击者自身账号,至此,账号劫持成立

提交SRC,移交CNNVD,确认高危