漏洞挖掘 | 任意密码重置 + 存储型XSS

本文由掌控安全学院 - 老板来一份烧鹅饭 投稿

还是老样子,打开谷歌镜像,搜索site:edu.cn指定域名,搭配关键字登陆,注册,忘记密码,等等,或者xxx系统比较容易挖出通杀。

图片

逻辑漏洞挖掘思路

1.登陆
登陆处一般会出现

  • 无验证码可爆破

  • 验证码登陆爆破(4位,或长期有效)

  • 验证码登陆绕过

  • 验证码在返回包

  • 短信轰炸

  • 邮箱轰炸

  • sesslon覆盖

  • 万能密码

  • post注入

  • xss

2.注册

  • 任意用户注册

  • 注册覆盖

  • 验证码在返回包

  • 短信轰炸

  • 邮箱轰炸

  • xss

3.密码找回

  • 任意用户密码重置

  • 密保问题在前端源码

  • 验证码爆破

  • 手机号码篡改为自己的接收短信验证码

  • 邮箱篡改为自己的接收短信验证码

4.会员系统(报名系统)

  • 用户越权访问

  • 订单越权查看修改

  • 收货地址越权查看修改

  • 资料越权查看修改

  • 换绑手机号码短信轰炸

  • 水平垂直越权

  • 接口查询

  • 数据泄露

  • 文件上传

  • 资料处xss

  • csrf

5.支付系统

  • 商品价格修改

  • 优惠卷数量修改

  • 折扣修改

  • 商品数量修改

  • 支付金额修改

  • 积分修改

  • 收货地址越权遍历

  • 订单查看

  • 备注处xss

  • 支付成功订单重放

  • 优惠数量限制突破

漏洞挖掘

(漏洞都已修复了)从谷歌语法里找了个站测试,这是一个报名系统

图片

整体看了一下功能,发现找回密码处是没有验证码的,抓包爆破预报名号,我一般爆破不知道是几位数字的都是从100000开始到99999999,每次加12341,如果每次就加1不知道要跑到猴年马月

图片


最后爆破到账号分布350000-360000之间返回包长度在5100多就是账号存在,4000多的是不存在的,再换成6位数爆破,最后爆破到一堆账号
 

图片


利用爆破到的账号,通过密保问题找密码

图片

图片


本来想抓包看看能不能绕过或者看看密保答案在不在数据包里,最后发现抓不了包,这前端验证,那答案不是在前端源码里了,仔细找了一下果然真的在前端源码里

图片

完美

图片

登陆验证一下,成功登陆,严重泄漏个人信息

图片

到这里不急着提交漏,看看能不能扩大攻击范围,刚才是预报名的账号而已,利用泄漏的身份证号码,去登陆考生号,结果当然也是一样密保答案在前端源码里。

不知不觉已经9点了,再挖一个洞就睡觉吧

接下来是一个卖书刊的站

图片

点进来就发现一个购买会员卡的界面,本来想测支付金额的,看卡能不能1元购,最后发现货到付款,还有钱要汇款了,这应该要人工审核!

图片

填写收卡信息里这么多输入框,不打xss还等啥

图片


刚测姓名那里就弹框了,这运气这么好?

图片

提交的信息的时候失望了,确认并提交那里xss代码都没有了,修改了别的地方还是没有,应该没希望了,不知道后台会不会弹出,算了直接丢xss平台吧

图片

图片

提交订单后,出来一个发票索要,又是一大堆输入框,就喜欢这么多框,存储xss又有希望了,

图片


发现是之间提交的没有限制,之间盲打试试看丢xss平台,果然没令我失望,成功打到cookie

图片

图片

刚想提交,wq域名竟然变了,竟然不是edu的,?只能提交公益src了,竟然不是edu的,拿打到的cookie去后台看看还有没有什么漏洞,最后发现,登陆不上,还验证ip。

最后我通过xss平台返回的xss触发的地址打开看看

图片

点击返回订单,又有了新的发现,发现可以查看用户的资料,不知道是不是我设置了打到的cookie的缘故可以看,还是越权,我把链接复制换新的浏览器打开发现也能访问,应该就是越权了

图片

图片

发现待处理里面,可以审批信息

图片

又有一处存储型xss

图片

刚才的页面没啥好测了,泄露了这么多信息还不扩大攻击范围等啥呢,利用泄露的手机号码看看能不能重置密码

图片

测试了一下发现验证码6位数,有效期10份钟,验证码没有返回在数据包,本来想爆破的,试一下看看能不能把接收验证码的手机号码改成我的,短信会不会收到

抓数据包测试

图片

验证码收到了,尝试下一步,发现验证码已失效,看来有防御机制,我还是看看能不能成功爆破把,短信发送给用户,爆破前我又试了一下修改手机号码,这次,竟然可以了,最后发现要先发送一次给用户,第二次在改自己的手机号码才有效,不知道啥逻辑

图片

图片

登陆验证一下,成功登陆,里面还有钱,点到为止,提交漏洞了。

图片

不知不觉12点了,5点还要起床,赶紧上床睡觉,

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/377030.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

大带宽服务器托管的特点和考虑因素

很多公司和企业对于使用大带宽服务器的需求和存储不一样,为了满足不同的用户需求,大带宽服务器托管是个不错的选择,小编为您整理发布大带宽服务器托管的特点和要考虑的因素。 大带宽服务器托管是一种服务器托管服务,其主要特点是…

【数据分享】1929-2023年全球站点的逐年平均降水量(Shp\Excel\免费获取)

气象数据是在各项研究中都经常使用的数据,气象指标包括气温、风速、降水、湿度等指标,说到常用的降水数据,最详细的降水数据是具体到气象监测站点的降水数据! 有关气象指标的监测站点数据,之前我们分享过1929-2023年全…

【图形学】投影和消隐简介

投影 正交投影 对于物体上任意一点的三维坐标P(x,y,z),投影后的三维坐标为 P ′ ( x ′ , y ′ , z ′ ) P^\prime(x^\prime,y^\prime,z^\prime) P′(x′,y′,z′),那么正交投影的方程为 { x ′ x y ′ y z ′ 0 \begin{cases} x^\primex\\y^\primey\\z^\prime0 \end{case…

2 月 7 日算法练习- 数据结构-并查集

并查集 并查集是一种图形数据结构,用于存储图中结点的连通关系。 每个结点有一个父亲,可以理解为“一只伸出去的手”,会指向另外一个点,初始时指向自己。 一个点的根节点是该点的父亲的父亲的的父亲,直到某个点的父亲…

【buuctf--来首歌吧】

用 Audacity 打开,左声道部分可以放大,可以按照长短转换成摩斯密码,放大后: ..... -... -.-. ----. ..--- ..... -.... ....- ----. -.-. -... ----- .---- ---.. ---.. ..-. ..... ..--- . -.... .---- --... -.. --... ----- -…

2024 年改变行业的人工智能主要趋势

1、导读 当我们迈入 2024 年时,了解人工智能趋势至关重要。它们不仅仅涉及技术进步;还涉及技术进步。它们意味着我们解决问题、做出决策和展望未来的方式发生了转变。本文旨在探索这些变革趋势,并强调人工智能如何不断突破可能性的界限&…

C++进阶(十二)lambda可变参数包装器

📘北尘_:个人主页 🌎个人专栏:《Linux操作系统》《经典算法试题 》《C》 《数据结构与算法》 ☀️走在路上,不忘来时的初心 文章目录 一、新的类功能1、默认成员函数2、类成员变量初始化3、 强制生成默认函数的关键字default:4、…

【软件设计师笔记】深入探究操作系统

【软件设计师笔记】计算机系统基础知识考点(传送门) 💖 【软件设计师笔记】程序语言设计考点(传送门) 💖 🐓 操作系统的作用 1.通过资源管理提高计算机系统的效率 2.改善人机界面向用户提供友好的工作环境 🐓 操作系统的特征 …

leetcode(滑动窗口)483.找到字符中所有字母异位词(C++详细解释)DAY4

文章目录 1.题目示例提示 2.解答思路3.实现代码结果 4.总结 1.题目 给定两个字符串 s 和 p,找到 s 中所有 p 的 异位词 的子串,返回这些子串的起始索引。不考虑答案输出的顺序。 异位词 指由相同字母重排列形成的字符串(包括相同的字符串&a…

03-抓包_封包_协议_APP_小程序_PC应用_WEB应用

抓包_封包_协议_APP_小程序_PC应用_WEB应用 一、参考工具二、演示案例:2.1、WEB应用站点操作数据抓包-浏览器审查查看元素网络监听2.2、APP&小程序&PC抓包HTTP/S数据-Charles&Fiddler&Burpsuite2.3、程序进程&网络接口&其他协议抓包-WireSh…

three.js 向量方向(归一化.normalize)

效果&#xff1a; <template><div><el-container><el-main><div class"box-card-left"><div id"threejs" style"border: 1px solid red"></div><div><p><el-button type"primary…

c#: 表达式树的简化

环境&#xff1a; .net 6 一、问题&#xff1f; 有下面的表达式&#xff1a; var nums new List<int> { 1, 2, 3 }; Expression<Func<int, bool>> exp i > i > nums.Max();我们知道&#xff0c;它其实就是&#xff1a;exp i > i > 3; 那么…

史上最全嵌入式(学习路线、应用开发、驱动开发、推荐书籍、软硬件基础)

废话不多说直接上思维导图&#xff01; 如果有觉得图片看不清楚的&#xff0c;有疑问的&#xff0c;可在评论区进行留言&#xff01; 群号&#xff1a; 228447240 嵌入式总括 嵌入式书籍推荐 嵌入式软件知识 嵌入式硬件知识 嵌入式应用开发 嵌入式驱动开发 嵌入式视频推荐: 韦…

5秒搭建PalWorld幻兽帕鲁游戏服务器,你信吗?

5秒搭建PalWorld幻兽帕鲁游戏服务器&#xff0c;你信吗&#xff1f;腾讯云推出幻兽帕鲁专属镜像系统&#xff0c;直接选择镜像&#xff0c;5秒搞定&#xff0c;全自动化部署。 幻兽帕鲁太火了&#xff0c;官方palworld服务器不稳定&#xff1f;不如自建服务器&#xff0c;基于…

双归同一运营商的 BGP 部署

一、拓朴如下&#xff1a; 要求&#xff1a; 1、AS100 只接收 AS200 和 300 的路由&#xff0c;不接收其它 AS 的明细路由&#xff1b; 2、对于 AS100 的业务流量出方向&#xff0c;所有到 AS200 和 300 的流量&#xff0c;优先选择 Line-1&#xff0c;而到 AS400 的流…

SpringBoot Security安全认证框架初始化流程认证流程之源码分析

SpringBoot Security安全认证框架初始化流程&认证流程之源码分析 以RuoYi-Vue前后端分离版本为例分析SpringBoot Security安全认证框架初始化流程&认证流程的源码分析 目录 SpringBoot Security安全认证框架初始化流程&认证流程之源码分析一、SpringBoot Security安…

5.electron之主进程起一个本地服务

如果可以实现记得点赞分享&#xff0c;谢谢老铁&#xff5e; Electron是一个使用 JavaScript、HTML 和 CSS 构建桌面应用程序的框架。 Electron 将 Chromium 和 Node.js 嵌入到了一个二进制文件中&#xff0c;因此它允许你仅需一个代码仓库&#xff0c;就可以撰写支持 Windows、…

基于SpringBoot和PostGIS的震中影响范围可视化实践

目录 前言 一、基础数据 1、地震基础信息 2、全国行政村 二、Java后台服务设计 1、实体类设计 2、Mapper类设计 3、控制器设计 三、前端展示 1、初始化图例 2、震中位置及影响范围标记 3、行政村点查询及标记 总结 前言 地震等自然灾害目前还是依然不能进行准确的预…

基于Springboot的足球社区管理系统(有报告)。Javaee项目,springboot项目。

演示视频&#xff1a; 基于Springboot的足球社区管理系统&#xff08;有报告&#xff09;。Javaee项目&#xff0c;springboot项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系结构…

8.0 Zookeeper 四字命令教程详解

zookeeper 支持某些特定的四字命令与其交互&#xff0c;用户获取 zookeeper 服务的当前状态及相关信息&#xff0c;用户在客户端可以通过 telenet 或者 nc&#xff08;netcat&#xff09; 向 zookeeper 提交相应的命令。 安装 nc 命令&#xff1a; $ yum install nc …