滲透測試 | 兩個通用邏輯漏洞挖掘

前言：

在偶爾進行滲透的過程中，對目標資產下存在的系統進行觀察的時候，發現了兩處邏輯漏洞，然后根據系統底部的版權信息利用搜索引擎一檢索，兩處通用漏洞就到手了，這里進行簡單的一個記錄。

某設備管理系統越權導致任意密碼修改：

該漏洞需要普通用戶身份登錄平臺，登錄平臺后可以以普通用戶的權限重置所有用戶（包括管理員）的密碼。

登錄框的話沒有驗證碼和登陸次數限制可以直接使用burp爆破，得到弱口令賬戶如下：

用戶名：hy

密碼：123456

登錄成功，當前用戶為普通用戶（區別于普通管理員、超級管理員），訪問修改密碼功能：

發現瀏覽器上的鏈接變成了http://xxxx/xxx/xxxx.action?xxxUser.id=3

嘗試修改xxx.User.id參數的值

http://xxxx/xxx/xxxx.action?xxxUser.id=1

http://xxxx/xxx/xxxx.action?xxxUser.id=2

發現可以越權更改其他用戶的信息，包括密碼等。這里可以修改超級管理員admin用戶的密碼，并且不需要原密碼驗證。

成功登錄。

某網課平臺任意密碼重置：

找回密碼功能存在任意密碼重置漏洞，可以通過密碼找回流程繞過來重置任意用戶的密碼。先前沒注意認為只是事件型的，仔細檢索查找后發現很多大學都用這個網課平臺。

訪問https://xxxx/index.php?xx=member&xxx=login&xxxx=find，

來到找回密碼頁面，輸入用戶名或者手機號碼以及驗證碼，如果用戶名\手機號碼存在，就會返回，

然后會自動跳轉到安全驗證界面，這時候需要輸入手機號碼進行驗證碼驗證才可以進入下一步重置密碼，

這時候發現URL鏈接為：

https://xxxx/index.php?xx=member&xxx=login&xxxx=find&step=2

猜想step參數的值可能對應找回密碼頁面，于是將值更改為3，

https://xxxx/index.php?xx=member&xxx=login&xxxx=find&step=2

就可以跳過手機驗證碼驗證，直接進入重置密碼界面，輸入想要重置的密碼點擊完成，就可以實現密碼找回流程繞過。

這時候使用重置的密碼登錄，可以成功登錄。

總結：

要記住漏洞挖掘原則：

不放過所有變量、所有頭，并將無關變量逐個刪除。

本文作者：教主assassin

本文為安全脈搏專欄作者發布，轉載注明：https://www.secpulse.com/archives/126657.html

聲明：本公眾號所分享內容僅用于網安愛好者之間的技術討論，禁止用于違法途徑，所有滲透都需獲取授權！否則需自行承擔，本公眾號及原作者不承擔相應的后果.