用户
搜索
  • TA的每日心情
    擦汗
    2019-11-19 08:27
  • 签到天数: 6 天

    连续签到: 1 天

    [LV.2]偶尔看看

    安全团队

    会是一回事,用又是一回事。

    Rank: 7Rank: 7Rank: 7

    93

    主题

    287

    帖子

    7559

    魔法币
    收听
    0
    粉丝
    64
    注册时间
    2016-9-4

    i春秋认证i春秋签约作者

    诚殷网络论坛 安全团队 会是一回事,用又是一回事 i春秋认证 i春秋签约作者 楼主
    发表于 2019-11-18 21:11:19 11671
    前情提要:
    目标是一个众测的商城,并且是shopnc这个cms的,首先上网搜一下漏洞,发现最近的漏洞是2016年的,测试了一下没成功就决定先自己测试一下。
    经过测试发现全站对于csrf都没做防护,心中不由大喜,众所周知,说到csrf都会与xss漏洞组合起来,但可惜的是全站xss防护超出了表弟的能力,无法绕过,可是单纯的增加收货地址或者修改个人信息等又始终达不到个人的预期,于是便开始思考如何才能把危害扩大。

    小有突破:
    经过一番寻找,我盯上了绑定邮箱

    首先这里绑定邮箱可以找回密码,如果可以通过csrf让他人的账户绑定我的邮箱,就可以用我的邮箱去修改他人的密码,于是测试是否可以csrf绑定邮箱,显而易见抓个包

    这里有个formhash值,不知道有啥用,害怕是验证的参数,所以删掉试试
    发现仍然可以
    1.png
    看着数据包也没token的样子,又删掉一些cookie测试,发现仍然可以,于是觉得有戏。
    因为这是个post类型的,所以希望改成get类型,但是经过测试,发现不行
    2.png
    行8,老老实实用post的吧,burp直接生成
    然后放到本地去测试一下,这个时候找另外一个账号去测试一下
    下面是点击链接之后的界面
    3.png
    然后去我的邮箱看看
    4.png
    这个时候查看是否成功绑定
    5.png

    成功,既然说到这是找回密码的邮箱,那么去看一下如何找回
    6.png
    这里找回密码需要用户名,emmmm,好像不知道其他人用户名,于是去看看能不能知道别人用户名,并发送给他链接

    柳暗花明:
    好巧不巧,在个人中心处我发现了这个
    7.png
    点击之后,发现url中包含了用户id
    8.png
    8说了,说干就干
    9.png
    那么只要给他人留言,诱导他点开链接,那么他的邮箱就会绑定我的邮箱,我就可以重置他的密码
    以刚才测试的账户为例
    11.png
    感想
    说实话,这个组合漏洞想要重置别人的密码还是比较曲折的,首先别人的邮箱是未绑定状态,而且还得点击我发给他的链接才成。但是,这个平台的是用手机号注册的,想必很多人并不会绑定邮箱,更重要的是,根据用户id判断,该平台的用户数量巨大,所以批量发送私信的话,总会有人上钩的。其次,当说到csrf漏洞时,大家都会想到与xss配合,但是随着xss的防护越来越严格,这种组合漏洞也越来越难以利用,这时不妨转换一下思维,去寻找有关用户的一些敏感操作,帮尝试辅佐其他信息或者漏洞去将危害进一步扩大
    参加WEB安全培训,请滴滴我哟!或者联系邮箱:admin@chinacycc.com(只要君信我,定当不负君!)
    好思路学习了!
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册