碼上快樂

相關內容    簡體    繁體

一次敏感信息泄露引發的邏輯漏洞挖掘

本文轉載自   查看原文   2020-05-21 18:55   759 

根據手頭上的信息,最大化的利用,一次簡單的漏洞挖掘,感覺過程很有意思分享一下~
0x01初始
收集子域,也是滲透的初始。這里我只是簡單用了fofa發現了該公司用來管理合作的一些子域名然后發現是登錄管理頁面,深入然后發現很多的敏感信息。也是從其中的一處敏感泄露,引發了眾多漏洞的挖掘。整個測試其實就花了半個小時不到。不過男人不能說自己快!,其實我花了很長時間呢。還是那句話千里之堤毀於蟻穴呀。

0x02挖掘開始
首先我發現了兩處子域,直接上fofa簡單粗暴有效


很明顯的都是登錄系統,而且都是供應商的登錄系統。所以這里就引發一個問題,我們沒有賬號,也不知道賬號的命名。所以很多測試都無從下手。它這里一個系統也提供了注冊功能,但是需要提供企業的一系列證明,通過審核之后才能擁有賬號。
那么要怎么辦呢,這里我采用JSFinder工具,首先對兩個登錄系統,掃了一遍js。看看是否能有一些突破點。於是這一掃也就是整個滲透的開始。
這一掃,我發現了一些敏感信息泄露,泄露了一些管理員的創建時間,和名字,但是都無關輕重


但是我發現了這個
xxx.com/超級供應商2.0功能操作手冊-V1.0.0.doc
一個操作手冊的鏈接,遂下載下來

這個文件就是系統的突破口,因為從中我們得到了,系統的賬號命名規律,還有一些手機號,
這些信息都是我們之后深入測試的突破口
既然我們得到了賬號的命名規律。然后我們發現此系統又是登錄次數錯誤密碼過多,才會出現驗證碼攔截。
於是當然萬能弱口令走一波。用密碼123456,和賬號當做用戶,密碼去撞,
撞出來很多有效賬號

遂登錄進去

盡可能的收集信息
當時我的想法是如果無法有獲取到大量數據的漏洞,就從別處下手
主要也是爆出來的賬號功能權限大部分受阻,所以還是在后台只找到了一處越權打全站的存儲xss。
“><img src=x onerror=alert(1)><”
簡單的閉合


前面的shopbannerid 就是可以越權修改的地方

只要用戶點擊廣告設置的地方,即可觸發xss
這個后台xss正好我們是可以驗證的,因為爆出來很多賬號,驗證一下發現可行,所以即可越權打全部商戶的cookie了
這也是從后台發現的一處可能危害較大的洞。
其實我認為我在后台發現最重要的地方是下面這個功能

然后我導出發現

里面存放着大量的商戶數據,然后我從中又發現一部分賬號的命名規律
這代表我們又可以加以利用啊。
不過這個只是一部分關鍵因素
因為我們前台的功能還有一處忘記密碼啊。

它這里,在我剛開始挖掘的時候就注意到,但是苦於無法知道賬號和對應的公司名稱,遂先放置
但是通過里面的信息泄露,我發現了命名規律和部分的賬號名稱
然后通過查看js提示 發現發送的驗證碼是4位。遂爆破

成功可以重置密碼

而且我們這里是可以重置全站用戶的,為什么這么說呢
因為我發現這一處好玩的功能點

當你輸入一些開頭的文字,它下面會提取相似的供你選擇,綜合手頭上的信息
我們已經掌握了全部的賬號命名規律,然后公司名稱那里也提供了
然后我發現這一處,可以固定公司名稱,爆破賬號,遂爆出對應的賬號,即可修改全站的密碼
包括管理員的。

而且上圖可以發現,他這個操作手冊其實是登錄進去提供的功能下載的。

而且當我們重置密碼進去之后,里面有一處會員賬號導出的功能,利用這一點我們可以不斷的導出賬號,發現它全部的賬號命名規律
這樣就可以最大話的,進行攻擊。

說完這個平台,該到另一個平台了

它這一處系統同樣是商戶系統,是用來給商戶進行采購的

進行忘記密碼功能

這里我直接跳入到了第二步,第一處要輸入商戶手機號。
返回上文,在我們導出的大批的商戶數據,不就是含括手機號嘛
於是乎,我直接拿來一個進行測試


這里輸入驗證碼抓包,將手機號換成自己的

輸入手機驗證碼抓包

將手機號換成我的
然后成功到密碼重置界面
它這里應該只是看userid,在它發送驗證碼我手機收到驗證碼的時候,我們其實就會感覺到異常,因為它這里發送驗證碼是沒有去和商戶的手機號進行查詢對比,是否存在發的
而且它最后一步,還帶上了userid的值,所以我就可以通過替換手機號,還重置所有的商戶密碼


再給各位觀眾老爺看一下,這是從上一個表格拿到的手機號。結合起來
到這里我就沒有去測試了,因為我覺得我能修改你兩個商戶系統的所有用戶密碼,已經是很高的危害了。
而且需要修改密碼才能進去繼續測試,作為正義的白帽子應該點到為止~所以就到此結束啦
0x03總結

讓我們來順一下。一切罪惡的源頭都要從,那一處由js泄露的敏感文件開始。從那里我們得知了賬號命名規則。然后通過規則爆出出大量的弱口令,從而進去后台。又從后台發現大量的會員商戶的賬號和對應的手機號和對應的商戶名稱,這樣我們才能繼續測試忘記密碼處的功能,然后我又通過這個手機號發現,我可以在另一個商戶系統中使用。從而形成一個重置兩個系統的商戶密碼的攻擊鏈。
這一切還是由於一處未授權下載文件引起的啊。千里之堤毀於蟻穴
如何根據手頭上的信息最大化攻擊,emmm感覺才算是漏洞挖掘的有意思之處叭


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 業務邏輯漏洞探索之敏感信息泄露 161端口SNMP敏感信息泄露漏洞 記一次對ctf試題中對git文件泄露的漏洞的挖掘 漏洞復現-CVE-2017-7529-敏感信息泄露 Nginx敏感信息泄露漏洞(CVE-2017-7529) Github敏感信息泄露 敏感信息泄露 1. 敏感信息泄露 記一次隱秘的XSS漏洞挖掘 記錄一次短信轟炸漏洞挖掘
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM