实战 | 记一次红队打的逻辑漏洞

八月初参加某市演练时遇到一个典型的逻辑漏洞，可以绕过验证码并且重置任意用户的密码。
首先访问页面，用户名处输入账号会回显用户名称，输入admin会回显系统管理员。（hvv的时候蓝队响应太快了，刚把admin的权限拿到了，蓝队就把admin账户禁用掉了,不过留了一手123456的账户）
 

点击忘记密码，发现回显一个用户手机号码，抓个包发现后端传过来的手机号码没有脱敏，但是前端显示却脱敏了，这就有趣了：
bp抓包分析发现管理员手机号泄露（仅是利用前端js将账户绑定的手机号码中间4位转换为*，数据包中的手机号码并未脱敏）。
将参数mobile修改为自己的手机号，而后放包抓返回包，发现返回报错，且参数有两个，一个是code,一个message。
 

一看就是前端js脱敏，所以查看前端js代码

发现个惊喜，data.code=0，抓个包看看，在响应包中发现code字段，乐开了花，存在前端验证：

重新发送验证码，将mobile字段去掉，不去掉的话就会发送短信给目标帐号了。
任意输入验证码，抓取响应包，将code字段改为0，然后进入密码修改界面，输入符合格式的密码：

填写完修改密码表单后，继续抓取修改密码的包，发现发送的参数里有code参数（后端验证码），将code参数去掉即可修改密码（原本保留code参数 code:”” 后端会回显错误，将其去掉就可正常修改密码，猜测是后端代码先判定是否存在code参数，若存在就将其与发送短信验证码api接口进行校验，若不存在就直接进行下一步修改密码）。

密码修改成功，进入后台，系统管理员权限，还神奇的发现有个系统切换功能，一个系统管理员有两个系统权限，乐开了花：

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

免费领取安全学习资料包！（私聊进群一起学习，共同进步）

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等

 

应急响应笔记

学习路线