逻辑漏洞合集

字节脉搏实验室

共 2145字,需浏览 5分钟

 ·

2023-08-23 20:30

声明:

      
        技术仅用以防御为目的的教学演示
      
      
        勿将技术用于非法测试,后果自负,与作者及公众号无关。
      
      
        遵守法律,共创和谐社会。感谢您的理解与支持!
      
    


0x01 未授权

未授权问题为普通用户登录或没有登录后,拼接js接口,构造报文,越权实现管理员的权限操作。原因:后端没有校验Cookie/Session的身份信息,以至于普通用户的权限可以实现管理员权限的功能。

First

webpack打包会泄露很多js接口,本人在这里演示一下Vue3+Webpack接口泄露的创建过程
使用Vue3-cli创建项目

d984101d5e1cd2dd0614318404a3bd36.webp


修改两个文件,一个是router目录下的index.js,一个是views目录下的ming.vue

5d6d29c1bd991e83a9c06d0646559034.webp

npm run build打包webpack生成dist文件夹,将这个文件夹中所有内容放在宝塔面板上展现

82785cd93fbbc4e6f2e1877071dbb177.webp

修改网站配置文件Vue Router进行路由管理,需要配置服务器以处理单页应用的路由,这意味着无论用户在浏览器中输入什么路径,都应该返回index.html文件

74c92c5898c5b42fee8f04e94fd50145.webp

浏览器打开url查看js文件就可以发现泄露的js接口

e2a800d82ded3c8319235095e19a7320.webp

拼接接口就可以查看内容

b07ce3f14bd91bc0be73124ada9ada59.webp

Second

使用普通用户权限登录

3964edc3e32b6925bc75e7efdb162cd5.webp

查看这个网站目录下的js文件

df8166db6b5e71d26a0eea5d60550ab6.webp

拼接js接口

0870e8fa4de7340a15c53b083fea7b79.webp

Third

同样使用普通用户权限登录找js接口

85b2d0738bcbb5ff2ed1d823d64e1267.webp

拼接js进入后台

cd6d0aeed12c47884f8171211a00123b.webp

0x02 越权

越权也属于未授权的一种,因为漏洞出现的次数比较多,所以我单独写了出来。
水平越权:一个用户可以查看其他用户的信息,比如一个招聘网站,每个人可以查看自己的信息,例如身份证号、姓名、头像等,但是一个用户能查看其它用户的信息,这就属于水平越权,同样修改其他人信息,删除也为水平越权。

First

水平越权查看其它用户的信息
一个招聘系统

f36191274bc063ef4d35c32580bb88b9.webp

d712dd601c62368ced4ed74f2349222b.webp

burp拦截报文

81ddcaa2356f6c5698a4e3f5876e3295.webp

是不是对12354有点感觉呀,burp重发包测试一下12352

5077d360a8223a14be93af8e02eee87d.webp

12353

   

581578657eca160a7b1ef07fcef446d8.webp

水平越权也有sql注入的可能,详情可看上篇文章

Second

越权修改其他用户的信息
系统上我注册了两个账号,一个为ming4,一个为ming5
登录ming5账户,修改信息点击保存

d8e86e335e9a93d8f841b66aebbc2de2.webp

burp拦截报文

5c0462e4565faa0a3cc1402e12b6aa82.webp

修改id为2177(ming4用户的id)

8096cc916e7b3e0fdd6c41effa3aebf5.webp

刷新ming4用户的信息,信息修改,密码也修改了
后续碎碎念:其实这里怀疑是update sql语句,当时比较菜,没有测试,如果现在这个站点还能让我测试的话,我会测试
2177 and sleep('5') 这种看看会不会产生延时注入

Third

OA系统越权登录,这里的逻辑为使用学生的学号登录统一认证,统一认证有跳转OA系统的链接点,学生用户是进入不了OA系统的,但是老师的工号可以进入
统一认证界面点击OA系统的链接,burp拦截报文

bad438f0f2c2fa2b0501e92eb829a9f7.webp

ticket修改为老师的工号,进入OA系统

864a1bfad192a4f53efd5eeb261ea25a.webp

0x03 Cookie

后端开发人员编写代码使得服务器使用cookie识别用户信息

First

修改cookie中的内容就可以直接为管理员权限
登录之后,web系统回复了以下内容,cookie中cookieusername以及cookieid,我们可以修改为cookieusername=admin以及cookieid=1

b2656f748e05c9f5d305939cdeb93528.webp

Second

cookie修改信息触发水平越权

0f4a413b5b58f821ad1a9f888ed2fbf1.webp

修改cookie中userid内容产生越权

798115ab63107239c543c23c814f1e51.webp

0x04 任意密码重置

网站使用手机发验证码修改密码,但验证码的作用仅为展示前端界面,没有与后端的校验交互

First

一个系统重置密码框

6d317bb51cde7371807c9d8215ffa1e6.webp

输入手机号输入验证码发送报文

ba081a2a8df1c2101e7edff828ef0cad.webp

修改status值为1

3c2d49711552a70032827565cf618081.webp

3c2d49711552a70032827565cf618081.webp


输入密码点击下一步

5cf314615abdb6032cfb850e4082d43d.webp

绕过
漏洞修复后的判定方式为在输入密码点击下一步的发送报文中携带验证码信息

Second

还是一个重置密码的地方,随便写入验证码点击下一步

bf889ae5ac5476c423554126f18b9d56.webp


回显报文情况

defdd70d6b88811219d70c4660dda921.webp

这里改为True呗
再点击一下

39d95062dff75899f220eddbd1bffc08.webp

51d02a041823b39414116e88c3c6e298.webp

返回为True,成功重置

1706a9e34efef236d86a8a3c4ab98b88.webp

末尾

逻辑漏洞覆盖面很广,并发问题,支付漏洞在本文中均没有提及,一是并发问题没有特别大的危害,只有企业SRC才会收录,二是支付漏洞本人太菜,没有挖到过!

来源:https://xz.aliyun.com/t/12655





字节脉搏实验室

微信号| zijiemaiboshiyanshi


浏览 15
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报