用户
搜索

该用户从未签到

i春秋作家

Rank: 7Rank: 7Rank: 7

0

主题

24

帖子

130

魔法币
收听
0
粉丝
0
注册时间
2018-10-30

i春秋签约作者

发表于 2020-9-18 19:02:33 611455
本帖最后由 baibaib 于 2020-9-18 19:06 编辑

编辑地址处可以越权任意查看用户信息
首先注册一个账号!然后登陆进去,写好自己的收获地址。下面是我在这个网站上的收获地址信息

1.png




接着我打开burp,在收获地址这里点击编辑,然后burp抓包。可以看到这里有两个尝试是进行post提交,一个是Action,一个是addressId。addressId这个尝试比较重要,代表的是一个用户的地址信息。也就是在后台表示一个用户的收获地址信息


2.png


我使用重放功能重放这个信息,可以看到返回回来的就是我的一个收获地址的信息,时使用json格式返回的!


3.png

把服务器返回回来的json信息放到burp的json解析中可以查看到json返回回来的信息。


4.png


接着我没可以修改这个addressId,可以尝试一下是否可以查看到别人的收获地址信息,从而获取到别的信息。这个我把我的收获地址ID减去1之后,返回了一串json信息


5.png


使用burp的json解析这串数据,可以发现已经不是我的收获地址信息了。而是别的信息,这就是水平越权访问别的信息。之后可以使用burp的爆破对这个addressId进行遍历获取其他用户的信息


6.png


绕过限制可以重复利用单个手机号码注册

首先回到注册用户这里,点击注册,使用我已经注册过的账号,如果使用已经注册过的账号的话,它会显示此账号已经注册了。


7.png


打开burp进行抓包,在点击下一步的时候进行抓包。可以看到这里有两个参数。第一个参数的意思就是一个动作的意思,在编程代码里面我感觉就是一个函数,下面的就是它的传值,RegPhoneExsited就是判断该注册的手机号码是否已经注册,返回过来的信息就是1,那么返回过来的这个1肯定就是代表已经注册了。


8.png


那么只需要把这个返回的信息修改为0,那么这就不是代表了没有注册吗。在数据包显示这里右击出现选项,选择拦截执行,选址此请求的响应


9.png


接着会返回服务器的返回json信息,把返回的1修改为0,这样就是代表这个手机号码未注册


10.png


放包之后可以看到已经进入到了下一步注册的验证码验证阶段了。


11.png


验证码前端发送验证漏洞

这个站点的验证码是前端验证的,并且这个是属于点击了获取验证码之后前言生成验证码,然后再前端验证,配合之前的任意覆盖用户注册,可以达到重置用户的效果,这个验证码也可也任意用户注册。我是如何挖掘到这个漏洞的呢,当我进入到获取验证码验证的阶段的时候,使用burp抓包,接着点击获取验证码。接着我随便输入一个错误的验证码,但是我的burp并没有抓取到数据包,前端已经提示了验证码错误,这个就是典型的验证码前端验证。这个时候需要查看的就是数据包这里,是否有带有验证码等信息,因为可以思考,如果不经过后端的话,必定是前端自己生成的验证码。每当我点击获取验证码的时候,就会出现这个User.ashx这个地址。查看一些这个地址的数据包,再set-cookie里面居然有一个参数是CodeckCode,不用说了把哈哈哈,这个就应该是验证码了。这个应该就是前端发送验证码到后台,然后后端再发送短信给我们的手机号码。

12.png

接着把这个验证码拿下里,输入到验证码中

13.png

可以看到这里我直接利用前端的给出的验证码直接进入到了用户注册这里。可以达成任意用户注册了。那么这里只要是需要用到验证码的地方,都可以跳过验证码了

14.png

查看订单处存在SQL注入漏洞到上线cobaltstrike

选择好了物品之后,在查看订单处有一处参数值,具有SQL注入漏洞。

15.png

使用burp抓包,点击查看订单。在Get参数orderId这个参数有SQL注入漏洞

16.png

可以看到这个参数是具有注入漏洞的。并且可以获取到服务器和数据库的信息

17.png

这样可以知道了是orderId这个参数出现了问题,那么在删除订单这里是否也有漏洞呢,在删除订单这里,点击删除订单,使用burp抓包。也有这个参数。

18.png

把数据库复制到文本文件里面,直接使用sqlmap跑一下,发现删除订单也是有注入漏洞的。查看权限居然还是高权限。

19.png

直接打开我的可爱的cobaltstrike。看看对方可否上线我的cobaltstrike!哈哈哈

20.png

接着通过提权获取了到了SYSTEM权限,接着就不继续深入渗透了

21.png

Snipaste_2020-09-05_23-14-06.png




























本帖被以下淘专辑推荐:

  • · sc|主题: 63, 订阅: 3
表哥技术可以的
使用道具 举报 回复
表哥的那个汉化版burp可以分享一下嘛
正值少年风华月貌
使用道具 举报 回复
发表于 2020-9-22 00:23:56
本帖最后由 baibaib 于 2020-9-22 00:31 编辑
墨笙 发表于 2020-9-22 00:00
表哥的那个汉化版burp可以分享一下嘛

emmmm可以啊,我分享一下
链接:https://pan.baidu.com/s/1EIBpcv5OiYiw4QVIB-o5og
提取码:2l6c

使用道具 举报 回复
发表于 2020-9-22 00:30:48
墨笙 发表于 2020-9-22 00:00
表哥的那个汉化版burp可以分享一下嘛

链接:https://pan.baidu.com/s/1EIBpcv5OiYiw4QVIB-o5og
提取码:2l6c
使用道具 举报 回复
大佬,那个前端验证码的查看数据包是怎么操作的
小白一枚,求大佬们带带弟弟
使用道具 举报 回复
发表于 2020-10-9 10:14:13
夜猫灰禾 发表于 2020-10-1 09:40
大佬,那个前端验证码的查看数据包是怎么操作的

就是验证码是前端js生成 然后通过cookie发送给服务器。可以通过浏览器抓包审查到cookie有验证码
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册