记一次对某佛教系统的漏洞挖掘

news2024/11/13 15:20:35

前言

简单记录一次漏洞挖掘,一个系统居然爆了这么多类型的洞,于是想记录哈。(比较基础,我是菜狗,大佬轻喷)

业务介绍

是一个某佛教的系统

1723524383_66bae51f8f1102a21b281.png!small?1723524384208

有一些佛教的学习资源、一些佛教相关的实物商品可购买,有个人中心,供奉活动,讲堂,禅院动态

漏洞发现

获得测试账号权限

由于没有普通用户权限,只是访客权限,于是想先注册一个账号

1723524397_66bae52dc2e4239cb0be6.png!small?1723524398301

结果是不允许注册的,只允许已有的用户进行登录,输入我的手机号会校验是否是已有的用户,不是则不允许发送验证码

这可怎么办呢,爆破手机号显然不现实,而且就算爆破手机号,也无法收到验证码啊,这样一来连普通用户权限都没有了,这对进行其他功能点的测试来说是一个极大的阻碍

于是我不死心地再试了试测试手机号,也就是开发在做这个发送验证码的功能时,大都会创建一个默认的测试手机号,用来验证功能是否完善有无bug等等,如果开发没有即时删除这个默认的测试手机号,攻击者就能轻易以测试账号的权限登录进系统,因为这种测试账号的密码也一般就是弱口令

于是我试了试经典的 13888888888、15888888888、18888888888 都成功发送了验证码!说明存在测试账号!

1723524413_66bae53ddc559115378f6.png!small?1723524414356

抓包,看响应包

1723524434_66bae5521618c85b7e1d1.png!small?1723524434893

好家伙响应包直接返回了验证码!msg不就是验证码的md5值吗,md5解密即可

1723524469_66bae575683e848153773.png!small?1723524469870

输入验证码,登录成功,到这里就从访客权限提升到了普通会员权限了,但是由于是测试账号,没有什么数据

1723524481_66bae581c0413a5e61a70.png!small?1723524482521

OSS任意文件上传

然后果断来到修改头像处,想要试试拿shell

1723524495_66bae58f484663dd8dee0.png!small?1723524495680

结果上传的文件后缀倒没有任何限制,只是全上传到OSS去了哈哈,拿shell是没戏了

1723524515_66bae5a3c4995dd06acd2.png!small?1723524516298

还可以试试看OSS能不能解析HTML,如果可以那么就是一个存储型XSS,当然如果能解析PHP那么就拿shell了(几乎不可能)

1723524535_66bae5b7ca04d9c9b2e5e.png!small?1723524536301

尝试了,所有后缀都是只下载,不解析,但是可以上传任意后缀文件到OSS中

任意用户接管

1723524548_66bae5c40d0e18b4b58be.png!small?1723524548531

看这个修改手机号的功能,一眼就有问题对吧

修改为新的手机号时,他这里只校验了当前手机号,对当前手机号发验证码,没有对新手机号进行校验,因为需要确保这个手机号的确属于你啊,否则就构成了任意用户换绑从而可接管任意用户账号!

大量水平越权

发送验证码,抓个包看看

1723524564_66bae5d4a61da4a0f0117.png!small?1723524567703

嗯?这是个什么操作!?手机号数据直接从前端取出的,因为还带有用来脱敏的星号"*",那么这说明了什么呢?说明他这里没有做身份校验,手机号不是按照用户权限在数据库中取出对应的手机号,而是直接从前端取出的!于是可以大胆推测这里的userid,与phone肯定是没有绑定的!既可以修改userid,又可以修改手机号!

1723524637_66bae61d110d23040bf52.png!small?1723524637542

可以看到,请求包中没有cookie,session等校验用户身份的字段,响应包直接set-cookie了!?那么肯定就是全靠userid来识别用户身份了,像这样的使用userid的来鉴权的点还有非常多,通通都可以水平越权!

既然都可以直接通过userid去set-cookie了,那么遍历一下userid就可以获得全站几乎所有用户的操作权限了撒

接着验证一下上面提到的任意用户接管,发送验证码,填写新的手机号,抓包

1723524662_66bae636daf9689f47138.png!small?1723524663502

果然,可以直接改改手机号连前面的验证旧手机号的逻辑都可以直接跳过了,而且同理,把这个cookie删掉也是也可以直接修改用户的手机号的,也可以算是接口未授权

这里既然发了验证码,那么继续测测看,能不能短信轰炸,经简单的测试发现,虽然响应包显示发送成功,但是实际上还是只能收到一条验证码

1723524687_66bae64fd19572349f37a.png!small?1723524688377

支付逻辑缺陷

接着测一测购买的功能吧

1723524705_66bae6610ac0868e66cd9.png!small?1723524705676

填好表单

1723524717_66bae66d2a0324de76263.png!small?1723524717634

支付时弹了一个窗,嗯?这又是什么操作?直接前端让我选择是否完成支付,而不是调用微信支付的接口去支付?

1723524731_66bae67b0fb46e3cfc1e0.png!small?1723524731859

那么我选已完成支付

1723524750_66bae68e3377322eb3439.png!small?1723524751083

查看我的订单,还真有啊?

1723524762_66bae69ad02d47a14990b.png!small?1723524763430

看看数据包

1723524776_66bae6a8650216b0e00e6.png!small?1723524777083

看这个statusIds是1对吧,也是典中典的逻辑漏洞场景了,这个statusIds代表支付过程完成的步骤,比如正常流程是:

先给你预览订单,让你确认订单,这时statusIds=0

如果确认订单了,statusIds=1

然后让你支付,如果支付成功,statusIds=2

也就是这个statusIds代表支付过程的几个关键的节点,如果各个节点之间没有做好对上一步骤是否真的完成了的校验,那么攻击者可以直接跳步执行逻辑,从而可以跳过支付步骤,直接购买成功!

此时statusIds=1,显示状态为待支付

1723524791_66bae6b73ff4865411b79.png!small?1723524792111

直接改为2,好家伙直接,显示状态为待发货了,成功跳过支付步骤

1723524804_66bae6c495b084fe2c8ae.png!small?1723524805704

信息泄露thinkphp报错

1723524824_66bae6d87eedd1ff63a54.png!small?1723524825065

thinphp反序列化

ThinkPHP V5.0.24版本存在反序列化漏洞

1723524848_66bae6f00993b581f093d.png!small?1723524848615

未授权访问数据库信息

通过手翻burp历史数据包找到了后台 /admin/login/index.html

1723524861_66bae6fd25f67da48b61f.png!small?1723524861707

发现了CMS及其版本信息

直接拿去搜索Nday,果然有一个未授权访问数据库信息Nday

/admin/system.system_databackup/tablelist.html路径可以未授权读取数据库表名

1723524873_66bae7090f2afe10c2552.png!small?1723524873898

直接就读取成功了

1723524894_66bae71e99af162c3059d.png!small?1723524895158

Druid未授权访问

burp插件扫描到的Druid未授权访问

1723524912_66bae73046b6a35cdc543.png!small?1723524913077

1723524924_66bae73c2b7d4267b3ebe.png!small?1723524924764

Redis未授权访问

扫了一下端口发现有6379,redis,尝试连接一下

连接成功,可以直接执行一些redis的命令

1723524935_66bae747b80f46624272f.png!small?1723524936379

就差一点点就可以反弹shell了,结果没有写入的权限,是只读权限

1723524964_66bae764a1a26581f443e.png!small?1723524965199

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2079718.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

PyCharm中python语法要求——消去提示波浪线

PyCharm中python语法要求——消去提示波浪线 关闭代码规范检查 在Setting里边搜索pep,取消勾选pep8 coding style violation 问题产生 解决问题 按照下图操作,也可直接CtrlAlts弹出设置页面 在 Settings 中 : Editor > Color Sheame >…

设计模式26-解析器模式

设计模式26-解析器模式 动机定义与结构定义结构 C代码推导代码说明 优缺点应用总结 动机 在软件构建过程中,如果某一特定领域的问题比较复杂,类似结构会不断重复的出现。如果使用普通的编程方式来实现,将面临非常频繁的变化。 在这种情况下&…

二叉树算法算法【二叉树的创建、插入、删除、查找】

一、原理 1.1、二叉排序树的插入 1.2、二叉树的删除 (1)删除度为0的节点,就是最后的叶子节点,直接删除就可以了. (2)删除度为1的节点,就是爷爷节点接收孙子节点。 (3)删…

什么软件可以约束员工摸鱼行为?「5款软件助力企业管控员工上班摸鱼!」

你的企业是否也在面临这些问题: 1.工作效率下降:频繁的分心会打断工作连贯性,降低任务完成的质量和速度。 2.团队协作受损:个别员工的低效可能导致整个团队进度滞后,影响项目按时交付。 3.资源浪费:非工…

Git —— 1、Windows下安装配置git

Git简介 Git 是一个免费的开源分布式版本控制系统,旨在处理从小型到 快速高效的超大型项目。 Git 易于学习,占用空间小,性能快如闪电。 它超越了 Subversion、CVS、Perforce 和 ClearCase 等 SCM 工具 具有 cheap local branching、 方便的暂…

【分布式架构幂等性总结】

文章目录 幂等性什么场景需要幂等设计?产生幂等性的原因解决重复操作,实现幂等性 幂等性 接口幂等性就是用户对于同一操作发起的一次请求或者多次请求的结果是一致的,不会因为多次点击而产生了副作用。比如:公交车刷卡&#xff0…

.NET8 Web 利用BAT命令 一键部署 IIS - CI-CD基础

1. Windows Server 前置准备 1.1 IIS安装好 1.2 .NET8 Sdk 运行时 安装 官方下载地址:https://dotnet.microsoft.com/zh-cn/download/dotnet/8.0 1.3 创建一个.NET8 WebMvc项目 生成发布包 微软MVC这个项目模板直接创建,发布 2. 利用 BAT 来一键部署…

特效与样式(5)——Timetables的使用

第一次使用timetables做学校课表的开发,里面的门道东西挺多的,比我想的要复杂很多。包括我现在也只是实现了课表的初级效果。 主要是标题部分,数据部分,还有颜色控制部分。每个表格都需要一个控制颜色,每次写数据的时候…

hyperf注解,自定义注解

注解是 Hyperf 非常强大的一项功能,可以通过注解的形式减少很多的配置,以及实现很多非常方便的功能。 结构 建立注解 在app下建立Annotation注解文件夹 在Annotation下建立Jim.php注解 下面的的Annotation 和 Target是全局注解,所以不需…

Go学习笔记(一)语法

标准库文档:Go语言标准库文档中文版 | Go语言中文网 | Golang中文社区 | Golang中国 B站课程:8小时转职Golang工程师(如果你想低成本学习Go语言) 课程作者语雀(首页有更多内容):8小时转职Golang工程师 语雀 代码仓…

C语言基础(二十)

链表是一种常见的数据结构,通常用来存储一系列元素,每个元素由一个节点来表示。在链表中,每个节点包含两部分:数据元素本身和指向下一个节点的指针。这种结构使得链表中的元素在内存中不是连续存储的,而是通过指针连接…

可拖拽表单设计器都有哪些突出特点?

为了提高效率、降低开发成本,利用低代码技术平台的优势特点可以实现这一目标。究竟什么是低代码技术平台?都有哪些值得夸耀的特点和优势?今天,我们就带着这些问题,一起来了解低代码技术平台、可拖拽表单设计器的多个优…

香港站群服务器优势

香港站群服务器因其独特的地理位置和网络连接优势,在SEO优化、网站群管理和网络营销等方面受到广泛关注。其优势主要体现在以下几个方面,rak小编为您整理发布。 地理位置优越 连接亚洲国际市场:香港作为亚太地区的重要经济中心,具…

华为2024年秋招-结构与材料工程师-结构方向-机试题(四套)(每套四十题)

华为2024年招聘-结构与材料工程师-结构方向-机试题(四套)(每套四十题) 岗位——结构与材料工程师 岗位意向——结构 真题题目分享,完整版带答案(有答案和解析,答案非官方,未仔细校正&#xff…

详细了解如何设计和实现一个SSO系统?

一、SSO系统有什么好处? 1、用户角度:一次登录多次使用,无需记录多套用户名和密码,省事省心。 2、系统管理员角度:管理员只需要维护好一个统一的账号中心就可以了,方便 3、新系统开发角度:新系统…

(二十六)STL vector容器(动态数组)

动态数组vector是标准模版库(STL, Stardard Template Library)中的模版,它有着节省空间和使用方便的优势,我们用一个形象的例子来说明: 开学了,有40个学生来报名,想要存储每个同学的姓名&#…

数字验证:一文弄懂UVM的factory机制

如果我们用SystemVerilog构建验证平台,构建好了之后,想改变平台中的某个组件,例如将driver改成driver_new,我们需要重新定义一下driver_new,当然也可以直接从driver继承。但是我们还需要在driver对象例化的地方将drive…

PHP同城派送多区域运营配送小程序源码

🚚💨「同城派送多区域运营小程序」——让每一份需求快速触达!🌈🚀 🔥 开篇燃爆:同城生活新风尚,一键速达不是梦! Hey小伙伴们,你还在为找不到合适的同城服务…

WEB渗透Win提权篇-PowerUp

提权工具合集包(免费分享): 夸克网盘分享 往期文章 WEB渗透Win提权篇-提权工具合集-CSDN博客 WEB渗透Win提权篇-RDP&Firewall-CSDN博客 WEB渗透Win提权篇-MSSQL-CSDN博客 WEB渗透Win提权篇-MYSQL-udf-CSDN博客 WEB渗透Win提权篇-Acc…

02-03:原理图与PCB交互以及快速模块化

1原理图与PCB交互 ①在PCB界面,点击工具, 勾选交叉选择模式 ②过滤器只选择元器件 2.按页快速模块化 配合F9快捷键