记一次对某佛教系统的漏洞挖掘

于 2024-08-27 14:03:15 发布
阅读量804 收藏 26
点赞数 30
分类专栏: 安全 文章标签: 数据挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeBuf_/article/details/141601444
版权

前言

简单记录一次漏洞挖掘,一个系统居然爆了这么多类型的洞,于是想记录哈。(比较基础,我是菜狗,大佬轻喷)

业务介绍

是一个某佛教的系统

1723524383_66bae51f8f1102a21b281.png!small?1723524384208

有一些佛教的学习资源、一些佛教相关的实物商品可购买,有个人中心,供奉活动,讲堂,禅院动态

漏洞发现

获得测试账号权限

由于没有普通用户权限,只是访客权限,于是想先注册一个账号

1723524397_66bae52dc2e4239cb0be6.png!small?1723524398301

结果是不允许注册的,只允许已有的用户进行登录,输入我的手机号会校验是否是已有的用户,不是则不允许发送验证码

这可怎么办呢,爆破手机号显然不现实,而且就算爆破手机号,也无法收到验证码啊,这样一来连普通用户权限都没有了,这对进行其他功能点的测试来说是一个极大的阻碍

于是我不死心地再试了试测试手机号,也就是开发在做这个发送验证码的功能时,大都会创建一个默认的测试手机号,用来验证功能是否完善有无bug等等,如果开发没有即时删除这个默认的测试手机号,攻击者就能轻易以测试账号的权限登录进系统,因为这种测试账号的密码也一般就是弱口令

于是我试了试经典的 13888888888、15888888888、18888888888 都成功发送了验证码!说明存在测试账号!

1723524413_66bae53ddc559115378f6.png!small?1723524414356

抓包,看响应包

1723524434_66bae5521618c85b7e1d1.png!small?1723524434893

好家伙响应包直接返回了验证码!msg不就是验证码的md5值吗,md5解密即可

1723524469_66bae575683e848153773.png!small?1723524469870

输入验证码,登录成功,到这里就从访客权限提升到了普通会员权限了,但是由于是测试账号,没有什么数据

1723524481_66bae581c0413a5e61a70.png!small?1723524482521

OSS任意文件上传

然后果断来到修改头像处,想要试试拿shell

1723524495_66bae58f484663dd8dee0.png!small?1723524495680

结果上传的文件后缀倒没有任何限制,只是全上传到OSS去了哈哈,拿shell是没戏了

1723524515_66bae5a3c4995dd06acd2.png!small?1723524516298

还可以试试看OSS能不能解析HTML,如果可以那么就是一个存储型XSS,当然如果能解析PHP那么就拿shell了(几乎不可能)

1723524535_66bae5b7ca04d9c9b2e5e.png!small?1723524536301

尝试了,所有后缀都是只下载,不解析,但是可以上传任意后缀文件到OSS中

任意用户接管

1723524548_66bae5c40d0e18b4b58be.png!small?1723524548531

看这个修改手机号的功能,一眼就有问题对吧

修改为新的手机号时,他这里只校验了当前手机号,对当前手机号发验证码,没有对新手机号进行校验,因为需要确保这个手机号的确属于你啊,否则就构成了任意用户换绑从而可接管任意用户账号!

大量水平越权

发送验证码,抓个包看看

1723524564_66bae5d4a61da4a0f0117.png!small?1723524567703

嗯?这是个什么操作!?手机号数据直接从前端取出的,因为还带有用来脱敏的星号"*",那么这说明了什么呢?说明他这里没有做身份校验,手机号不是按照用户权限在数据库中取出对应的手机号,而是直接从前端取出的!于是可以大胆推测这里的userid,与phone肯定是没有绑定的!既可以修改userid,又可以修改手机号!

1723524637_66bae61d110d23040bf52.png!small?1723524637542

可以看到,请求包中没有cookie,session等校验用户身份的字段,响应包直接set-cookie了!?那么肯定就是全靠userid来识别用户身份了,像这样的使用userid的来鉴权的点还有非常多,通通都可以水平越权!

既然都可以直接通过userid去set-cookie了,那么遍历一下userid就可以获得全站几乎所有用户的操作权限了撒

接着验证一下上面提到的任意用户接管,发送验证码,填写新的手机号,抓包

1723524662_66bae636daf9689f47138.png!small?1723524663502

果然,可以直接改改手机号连前面的验证旧手机号的逻辑都可以直接跳过了,而且同理,把这个cookie删掉也是也可以直接修改用户的手机号的,也可以算是接口未授权

这里既然发了验证码,那么继续测测看,能不能短信轰炸,经简单的测试发现,虽然响应包显示发送成功,但是实际上还是只能收到一条验证码

1723524687_66bae64fd19572349f37a.png!small?1723524688377

支付逻辑缺陷

接着测一测购买的功能吧

1723524705_66bae6610ac0868e66cd9.png!small?1723524705676

填好表单

1723524717_66bae66d2a0324de76263.png!small?1723524717634

支付时弹了一个窗,嗯?这又是什么操作?直接前端让我选择是否完成支付,而不是调用微信支付的接口去支付?

1723524731_66bae67b0fb46e3cfc1e0.png!small?1723524731859

那么我选已完成支付

1723524750_66bae68e3377322eb3439.png!small?1723524751083

查看我的订单,还真有啊?

1723524762_66bae69ad02d47a14990b.png!small?1723524763430

看看数据包

1723524776_66bae6a8650216b0e00e6.png!small?1723524777083

看这个statusIds是1对吧,也是典中典的逻辑漏洞场景了,这个statusIds代表支付过程完成的步骤,比如正常流程是:

先给你预览订单,让你确认订单,这时statusIds=0

如果确认订单了,statusIds=1

然后让你支付,如果支付成功,statusIds=2

也就是这个statusIds代表支付过程的几个关键的节点,如果各个节点之间没有做好对上一步骤是否真的完成了的校验,那么攻击者可以直接跳步执行逻辑,从而可以跳过支付步骤,直接购买成功!

此时statusIds=1,显示状态为待支付

1723524791_66bae6b73ff4865411b79.png!small?1723524792111

直接改为2,好家伙直接,显示状态为待发货了,成功跳过支付步骤

1723524804_66bae6c495b084fe2c8ae.png!small?1723524805704

信息泄露thinkphp报错

1723524824_66bae6d87eedd1ff63a54.png!small?1723524825065

thinphp反序列化

ThinkPHP V5.0.24版本存在反序列化漏洞

1723524848_66bae6f00993b581f093d.png!small?1723524848615

未授权访问数据库信息

通过手翻burp历史数据包找到了后台 /admin/login/index.html

1723524861_66bae6fd25f67da48b61f.png!small?1723524861707

发现了CMS及其版本信息

直接拿去搜索Nday,果然有一个未授权访问数据库信息Nday

/admin/system.system_databackup/tablelist.html路径可以未授权读取数据库表名

1723524873_66bae7090f2afe10c2552.png!small?1723524873898

直接就读取成功了

1723524894_66bae71e99af162c3059d.png!small?1723524895158

Druid未授权访问

burp插件扫描到的Druid未授权访问

1723524912_66bae73046b6a35cdc543.png!small?1723524913077

1723524924_66bae73c2b7d4267b3ebe.png!small?1723524924764

Redis未授权访问

扫了一下端口发现有6379,redis,尝试连接一下

连接成功,可以直接执行一些redis的命令

1723524935_66bae747b80f46624272f.png!small?1723524936379

就差一点点就可以反弹shell了,结果没有写入的权限,是只读权限

1723524964_66bae764a1a26581f443e.png!small?1723524965199

FreeBuf-
关注
专栏目录
博客
如何使用SCCMSecrets识别SCCM策略中潜在的安全问题
09-30 1004
SCCMSecrets是一款针对SCCM策略的安全扫描与检测工具,该工具旨在提供一种有关 SCCM 策略的全面安全检测方法。
博客
Storm-0501黑客组织针对美国政府混合云环境发起攻击
09-30 647
微软表示,这种多阶段攻击活动旨在破坏混合云环境,并从内部部署横向移动到云环境,最终导致数据外渗、凭证盗窃、篡改、持续后门访问和勒索软件部署。
博客
DnsDiag:一款针对DNS的故障排除和安全审计工具
09-29 887
DnsDiag是一款针对DNS的故障排除和安全审计工具,在该工具的帮助下,广大研究人员可以轻松检测DNS基础设施的安全性。
博客
美国惊曝超大规模信息泄露事件!超1亿人受到影响
09-29 264
事件的起因源于背景调查公司 MC2 Data 的一个配置错误的数据库,据称该数据库中有2.2TB的敏感数据遭遇非法访问。
博客
Minderbinder:一款基于eBPF的进程安全测试工具
09-27 1022
Minderbinder是一款基于eBPF的进程安全测试工具,在该工具的帮助下,广大研究人员可以通过注入噪声来测试目标进程的安全性。
博客
sysdig-inspect:一款用于容器故障排除和安全调查的开源工具
09-26 324
sysdig-inspect是一款用于容器故障排除和安全调查的开源工具,该工具可以帮助我们针对目标容器快速执行安全解析。
博客
HP报告:已在野外发现生成式AI制作的恶意软件有效载荷
09-26 256
最新发布的惠普沃尔夫(HP Wolf )安全威胁洞察报告显示,现阶段已在野外出现了使用生成式人工智能(GenAI)生成的恶意软件有效载荷。
博客
Subdominator:一款针对漏洞奖励计划的子域名安全枚举工具
09-25 1254
Subdominator是一款针对漏洞奖励计划的子域名安全枚举工具,可用于在漏洞搜寻和侦察过程中进行被动子域名枚举。
博客
只需10分钟即可被绕过,Chrome浏览器最新cookie安全功能纸糊的一样?
09-25 804
Infostealer恶意软件开发者发布更新,声称可以绕过谷歌Chrome浏览器最近推出的保护cookie等敏感数据的App-Bound Encryption功能。
博客
PingCastle:一款针对活动目录AD的安全强化工具
09-24 892
PingCastle是一款针对活动目录AD的安全强化工具,可以帮助广大研究人员提升活动目录的安全性,该工具甚至可以做到在 20% 的时间内实现 80% 的AD安全性。
博客
又一安卓恶意软件曝光,至少1100 万台设备已“中招”!
09-24 611
近日,有研究人员发现在恶意 SDK 供应链攻击中,有黑客通过 Google Play 在 1100 万台设备上安装了新版本的 Necro 恶意安卓载入器。
博客
PatrOwl:一款开源可扩展的安全协调运营平台
09-23 1223
PatrOwl是一款开源可扩展的安全协调运营平台,广大研究人员可以使用该工具完成组织内部的安全协调运营。
博客
乌克兰因安全风险首次禁用Telegram
09-23 420
除非有特别要求, NCCC 已禁止在政府、军队、安全、国防部门员工和关键基础设施人员使用的官方设备上使用Telegram 。
博客
如何使用MyJWT测试你的JWT是否存在安全问题
09-20 937
MyJWT是一款针对JSON Web Token(JWT)的安全检测工具,该工具适用于渗透测试人员、CTF 玩家或开发人员,可以快速针对JWT执行安全扫描与检测。
博客
全球多个知名社媒平台长期监视青少年儿童用户,每年赚取数十亿美元
09-20 523
根据美国联邦贸易委员会(FTC)工作人员的一份报告显示,社交媒体和视频流媒体公司一直在对用户,尤其是儿童和青少年进行广泛的监控,隐私保护不足。
博客
Dependency Check:一款针对应用程序依赖组件的安全检测工具
09-19 2170
Dependency-Check 是一款软件组合分析 (SCA) 工具,可尝试检测项目依赖项中包含的公开披露的漏洞。
博客
全球蓝屏后,微软将安全踢出Windows内核
09-19 391
通过集成SIEM系统,也可以监控EDR工具的活动,及时发现异常行为,并采取相应的响应措施等。
博客
对BP机发起网络攻击,为什么可以制造全国性大爆炸?
09-19 544
有安全专家指出,这次攻击的精确度和复杂性表明,这不仅仅是普通的恶意软件攻击,而可能涉及到更为复杂的供应链攻击。
博客
Amoco:一款针对二进制源码的安全分析工具
09-14 982
Amoco是一款功能强大的二进制源码静态分析工具,该工具基于Python 3.8开发,可以帮助广大研究人员轻松对二进制程序执行静态符号分析。
博客
苹果Vision Pro曝出严重漏洞,黑客可通过用户眼动输入窃取信息
09-14 332
近日,苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞,一旦被黑客成功利用,他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值