实战 | 记一次红队打的逻辑漏洞

八月初参加某市演练时遇到一个典型的逻辑漏洞,可以绕过验证码并且重置任意用户的密码。
首先访问页面,用户名处输入账号会回显用户名称,输入admin会回显系统管理员。(hvv的时候蓝队响应太快了,刚把admin的权限拿到了,蓝队就把admin账户禁用掉了,不过留了一手123456的账户)
 

实战 | 记一次红队打的逻辑漏洞_第1张图片


点击忘记密码,发现回显一个用户手机号码,抓个包发现后端传过来的手机号码没有脱敏,但是前端显示却脱敏了,这就有趣了:
bp抓包分析发现管理员手机号泄露(仅是利用前端js将账户绑定的手机号码中间4位转换为*,数据包中的手机号码并未脱敏)。
将参数mobile修改为自己的手机号,而后放包抓返回包,发现返回报错,且参数有两个,一个是code,一个message
 

实战 | 记一次红队打的逻辑漏洞_第2张图片


一看就是前端js脱敏,所以查看前端js代码

实战 | 记一次红队打的逻辑漏洞_第3张图片

实战 | 记一次红队打的逻辑漏洞_第4张图片


发现个惊喜,data.code=0,抓个包看看,在响应包中发现code字段,乐开了花,存在前端验证:

实战 | 记一次红队打的逻辑漏洞_第5张图片


重新发送验证码,将mobile字段去掉,不去掉的话就会发送短信给目标帐号了。
任意输入验证码,抓取响应包,将code字段改为0,然后进入密码修改界面,输入符合格式的密码:

实战 | 记一次红队打的逻辑漏洞_第6张图片

填写完修改密码表单后,继续抓取修改密码的包,发现发送的参数里有code参数(后端验证码),将code参数去掉即可修改密码(原本保留code参数 code:”” 后端会回显错误,将其去掉就可正常修改密码,猜测是后端代码先判定是否存在code参数,若存在就将其与发送短信验证码api接口进行校验,若不存在就直接进行下一步修改密码)。

密码修改成功,进入后台,系统管理员权限,还神奇的发现有个系统切换功能,一个系统管理员有两个系统权限,乐开了花:

实战 | 记一次红队打的逻辑漏洞_第7张图片

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

图片

没看够~?欢迎关注!

免费领取安全学习资料包!(私聊进群一起学习,共同进步)实战 | 记一次红队打的逻辑漏洞_第8张图片

渗透工具

实战 | 记一次红队打的逻辑漏洞_第9张图片

技术文档、书籍

实战 | 记一次红队打的逻辑漏洞_第10张图片 实战 | 记一次红队打的逻辑漏洞_第11张图片

实战 | 记一次红队打的逻辑漏洞_第12张图片

面试题

帮助你在面试中脱颖而出

实战 | 记一次红队打的逻辑漏洞_第13张图片

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

实战 | 记一次红队打的逻辑漏洞_第14张图片 

实战 | 记一次红队打的逻辑漏洞_第15张图片

应急响应笔记

实战 | 记一次红队打的逻辑漏洞_第16张图片

学习路线

你可能感兴趣的:(Web漏洞,网络安全,安全,web安全)