记一次红队打的逻辑漏洞(验证码绕过&任意用户密码重置)

八月初参加某市演练时遇到一个典型的逻辑漏洞,可以绕过验证码并且重置任意用户的密码。
首先访问页面,用户名处输入账号会回显用户名称,输入admin会回显系统管理员。(hvv的时候蓝队响应太快了,刚把admin的权限拿到了,蓝队就把admin账户禁用掉了,不过留了一手123456的账户)
 

记一次红队打的逻辑漏洞(验证码绕过&任意用户密码重置)_第1张图片


点击忘记密码,发现回显一个用户手机号码,抓个包发现后端传过来的手机号码没有脱敏,但是前端显示却脱敏了,这就有趣了:
bp抓包分析发现管理员手机号泄露(仅是利用前端js将账户绑定的手机号码中间4位转换为*,数据包中的手机号码并未脱敏)。
将参数mobile修改为自己的手机号,而后放包抓返回包,发现返回报错,且参数有两个,一个是code,一个message
 

记一次红队打的逻辑漏洞(验证码绕过&任意用户密码重置)_第2张图片


一看就是前端js脱敏,所以查看前端js代码

记一次红队打的逻辑漏洞(验证码绕过&任意用户密码重置)_第3张图片

记一次红队打的逻辑漏洞(验证码绕过&任意用户密码重置)_第4张图片


发现个惊喜,data.code=0,抓个包看看,在响应包中发现code字段,乐开了花,存在前端验证:

记一次红队打的逻辑漏洞(验证码绕过&任意用户密码重置)_第5张图片


重新发送验证码,将mobile字段去掉,不去掉的话就会发送短信给目标帐号了。
任意输入验证码,抓取响应包,将code字段改为0,然后进入密码修改界面,输入符合格式的密码:

记一次红队打的逻辑漏洞(验证码绕过&任意用户密码重置)_第6张图片

填写完修改密码表单后,继续抓取修改密码的包,发现发送的参数里有code参数(后端验证码),将code参数去掉即可修改密码(原本保留code参数 code:”” 后端会回显错误,将其去掉就可正常修改密码,猜测是后端代码先判定是否存在code参数,若存在就将其与发送短信验证码api接口进行校验,若不存在就直接进行下一步修改密码)。

密码修改成功,进入后台,系统管理员权限,还神奇的发现有个系统切换功能,一个系统管理员有两个系统权限,乐开了花:还没看够?欢迎关注,带你走进黑客世界,下面也有免费的靶场视频

记一次红队打的逻辑漏洞(验证码绕过&任意用户密码重置)_第7张图片

         还没看够?欢迎关注,带你走进黑客世界,下面也有免费的靶场视频免费领取安全学习资料包!一起学习,共同进步!icon-default.png?t=N7T8https://docs.qq.com/doc/DRGJHbUxpTWR2Y3lq

你可能感兴趣的:(实纪实战,渗透测试,安全,web安全,网络安全,网络)