業務邏輯漏洞
基礎知識補充:
User-Agent
User Agent中文名為用戶代理,簡稱 UA,它是一個特殊字符串頭,使得服務器能夠識別客戶使用的操作系統及版本、CPU 類型、瀏覽器及版本、瀏覽器渲染引擎、瀏覽器語言、瀏覽器插件等。
例:微信的:
Mozilla/5.0 (iPhone; CPU iPhone OS 12_1_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/16D57 MicroMessenger/7.0.3(0x17000321) NetType/WIFI Language/zh_CN
常見的user-agent大全:https://blog.csdn.net/wangqing84411433/article/details/89600335
X-Forwarded-For
X-Forwarded-For(XFF)是用來識別通過HTTP代理或負載均衡方式連接到Web服務器的客戶端最原始的IP地址的HTTP請求頭字段。
如果沒有XFF或者另外一種相似的技術,所有通過代理服務器的連接只會顯示代理服務器的IP地址,而非連接發起的原始IP地址
所以我們也可以用xff來偽裝自己的原始IP,故意錯誤標識。
unicode
萬國碼:它為每種語言中的每個字符設定了統一並且唯一的二進制編碼,以滿足跨語言、跨平台進行文本轉換、處理的要求。
墨者學院靶場練習
身份認證失效漏洞實戰 :
網址:https://www.mozhe.cn/bug/detail/eUM3SktudHdrUVh6eFloU0VERzB4Zz09bW96aGUmozhe
背景:
鑽石代理商馬春生同學卷款逃跑,多位下級代理內心受到了難以磨滅的傷害,為了找到她我們將通過代理網站獲取到她的手機號碼等信息。
目標:
1.了解越權漏洞的相關知識;
2.熟練的使用burp工具獲取用戶信息;
3.掌握一定的前端知識;
操作:
-
已知測試賬號test/test,登錄抓包
-
發現登錄成功之后會有一個get返回包,里面有一個id值可以為后面的越權做准備
-
發現首頁有一張各個銷售的介紹和照片,查看頁面源代碼發現馬春生磚石代理的id值
-
burpsuit重放之前獲取的get包,將id值改為馬春生的id,看是否可以越權繞過。
-
成功繞過,獲取賬號和密碼,密碼為MD5加密,解密。賬號為:m233241、密碼為:9732343
-
成功登錄馬春生賬戶,獲取key值
總結:
使用已經登錄的session,可以通過修改get請求值獲取其他頁面信息,水平越權訪問
登錄密碼重置漏洞分析溯源
網址:https://www.mozhe.cn/bug/detail/K2sxTTVYaWNncUE1cTdyNXIyTklHdz09bW96aGUmozhe
背景:
1、通過“朝陽群眾”的舉報,證實手機號“17101304128”在系統平台從事非法集資、詐騙活動。
2、請重置“17101304128”登錄密碼,以便登錄獲取完整的數字證據
目標:
1、了解短信驗證的方式;
2、了解短信驗證繞過的方法;
3、掌握密碼重置的一種法防;
操作:
-
打開靶場進入操作界面,發現有一個已經注冊的手機號
-
使用測試號碼獲取短信驗證碼
-
將手機號改為需要登錄的手機號,點擊重置,成功獲取key值
總結:
其短信驗證碼5分鍾內有效,只驗證驗證碼的有效性,而沒有驗證驗證碼和手機號的一致性。所以可以越權重置。
熱點評論刷分漏洞分析溯源
網址:https://www.mozhe.cn/bug/detail/UWRuRTBMWGFIUFN1ZHBwOUNzeGNyQT09bW96aGUmozhe
背景:
小墨接到通知,網上又報道出一不和諧的新聞:安徽男子醉酒鬧事打傷警察,需要把謬論改變為和諧的評論。
目標:
1、X-Forwarded-for的理解
2、使用BurpSuite工具修改內容
方向:
據頁面提示,進行點贊頁面測試
操作:
-
查看題目要求,要將zhangyu的評論的點贊數超過500
-
找到點贊位置,點贊發現一個人只能點一次(一個IP(源)只能點一次)
-
抓取點贊包,放到爆破模塊中,在http頭中增加一個X-Forwarded-for用於修改IP地址(隨便設置一個正確格式的IP)
-
給IP設置變量,使其IP不斷變化爆破,IP一邊變化一邊發包,達到多次點贊的目的。
我這里設置了兩個變量交叉爆破,一個從1-3,第二個從1-254。
-
成功完成刷贊任務
總結:
在http頭中增加X-Forwarded-for來修改IP地址,達到重復刷贊的目的
投票常見漏洞分析溯源
網址:https://www.mozhe.cn/bug/detail/WTNpdGxUS3l4dG9uMFF6ZEs3OEJCdz09bW96aGUmozhe
背景:
小墨在微信群里面收到一個關於“家鄉美”最美鄉村評選微信投票,小墨想讓自己的家鄉成為第一名
目標:
1、User-Agent的理解
2、X-Forwarded-for的理解
3、使用BurpSuite工具修改內容
操作:(請爭取“a2019”爭得第一名!)
-
給a2019投票發現提示,請用微信打開
-
抓包看一下,發現請求頭中有user-agent用戶代理,用於表示用戶的操作系統和瀏覽器等。我們將他修改成微信的user-agent
Mozilla/5.0 (iPhone; CPU iPhone OS 12_1_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/16D57 MicroMessenger/7.0.3(0x17000321) NetType/WIFI Language/zh_CN
-
再加上X-Forwarded-for修改IP地址。
-
和上一個漏洞一樣,放入爆破模塊,達到修改IP的同時進行重放的操作。達到點贊的目的
總結:
除了X-Forwarded-for頭修改IP地址外,還加上了user-agent用戶代理,修改用戶使用終端系統
投票系統程序設計缺陷分析
網址:https://www.mozhe.cn/bug/detail/anBmazJ1NWIvcnZmcldxMnUvdzZKQT09bW96aGUmozhe
背景:
年終了,公司組織了各單位"文明窗口"評選網上投票通知。
安全工程師"墨者"負責對投票系統進行安全測試,看是否存在安全漏洞會影響投票的公平性。
目標:
1、了解瀏覽器插件的使用;
2、了解開發程序員對IP地址獲取方式;
3、了解網絡協議軟件的使用,如burpsuite等;
方向:
根據頁面提示,進行投票頁面測試。
操作:請爭取窗口“ggg”票數奪取第一名
-
點擊投票成功,再次圖片發現今日投票次數用完,還是一個IP只能投一次
-
抓包,還是用之前漏洞的邏輯,在http頭中加入X-Forwarded-for修改IP
-
具體不重復了,可以參考之前的
PHP邏輯漏洞利用實戰(第1題)
網址:https://www.mozhe.cn/bug/detail/RmF2NExLM2E2QnZReGJCQzBoTEdRdz09bW96aGUmozhe
背景:
小明在瀏覽墨者學院的時候,對黑客技術很感興趣,想學習黑客技術,但是他沒有學習書籍,請你幫他購買書籍。
小明注冊的賬號是xiaoming 密碼是123456。
目標:
1、了解一般PHP邏輯漏洞;
2、掌握熟悉burp的使用;
方向:
利用burp修改數據
操作:
-
登錄小明賬號,可以看到余額為1元,然后要買兩本書
-
抓包,吧兩本書的金額修改為0.1元,放包
-
成功
總結:
抓包修改后,服務端沒有驗證當前數據和之前數據是否匹配,簡單繞過