声明:没有经过原作者授权,不得转载;
前言
某天我空少跟我一起挖洞的时候告诉我,他卡卡拿下了不错的赏金。可把我羡慕坏了,果断让他交出他的宝典让大家学习学习。这里也非常感谢我空少的投稿,下面我们就开始今天的漏洞赏金思路!!!!!!!
漏洞简介
• 漏洞种类:某后台注册+任意密码重置
• 漏洞类型:接口泄露+逻辑漏洞
漏洞过程
打开网站发现就是一个后台,把常规的方式都用过了没办法掏出了我空少珍藏多年的F12键。
通过查看app.xxxxx.js这个js文件发现了注册接口
然后直接post请求该接口
发现报错了,然后通过观察此后台的登录接口,是使用json传数据,重新构造了数据包
发现还是报错,报错原因是没有传递那些参数,所以报错了。将所有参数填入后再请求,通过一个一个的报错信息大概的Payload如下(由于我这里用户名被我创建了,所以尝试该payload的时候要修改一下邮箱和登录名,不然还是会报错,说用户名重复或者邮箱重复)
就会发现用户创建成功了。
为了测试我这里创建了2个账号,一个是hahaha和www
其中hahaha的id是6,www的id是7(这里很重要哦!!!!!)
找到修改密码功能
填完后抓包,如下包
然后把oldPassword这个参数删掉,就可以绕过原始密码的验证
然后发现那里请求接口的url那里有个7是www用户的id修改为6就是hahaha用户的id。到这里兄弟们应该知道怎么组合想法了,没错就是越权改密码
兄弟们到这里以为结束了嘛?当然没有
通过上面的js发现了其他用户的登录名的接口
然后可以通过修改admin的密码,提升权限。为了不影响业务,我这里重置一个很少登录的用户nplus这个用户
除了更改密码外还有多处越权,例如将自己变成管理员
[1,3,4,5,7]代表管理员的id有哪些,把7加进去代表把我www这个用户加到管理员中
这样我就是管理员啦
漏洞总结
这次的漏洞针对逻辑而言我觉得还是比较不错的文章,当然这里面有很多很多很多可以扩展的思路和操作,其实还有几个漏洞没有放出来,也是希望兄弟们能通过目前的几个漏洞去思考我们可以操作的还有什么东西,漏洞永远是基础的漏洞,但是挖不到的人就是挖不到。希望大家能有所收获,欢迎兄弟们留言或者私信一起交流!!!
原文始发于微信公众号(炮炮安全):SRC系列之某节SRC
