记一次对某佛教系统的漏洞挖掘

2024-08-27 19:20

本文主要是介绍记一次对某佛教系统的漏洞挖掘,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

简单记录一次漏洞挖掘,一个系统居然爆了这么多类型的洞,于是想记录哈。(比较基础,我是菜狗,大佬轻喷)

业务介绍

是一个某佛教的系统

1723524383_66bae51f8f1102a21b281.png!small?1723524384208

有一些佛教的学习资源、一些佛教相关的实物商品可购买,有个人中心,供奉活动,讲堂,禅院动态

漏洞发现

获得测试账号权限

由于没有普通用户权限,只是访客权限,于是想先注册一个账号

1723524397_66bae52dc2e4239cb0be6.png!small?1723524398301

结果是不允许注册的,只允许已有的用户进行登录,输入我的手机号会校验是否是已有的用户,不是则不允许发送验证码

这可怎么办呢,爆破手机号显然不现实,而且就算爆破手机号,也无法收到验证码啊,这样一来连普通用户权限都没有了,这对进行其他功能点的测试来说是一个极大的阻碍

于是我不死心地再试了试测试手机号,也就是开发在做这个发送验证码的功能时,大都会创建一个默认的测试手机号,用来验证功能是否完善有无bug等等,如果开发没有即时删除这个默认的测试手机号,攻击者就能轻易以测试账号的权限登录进系统,因为这种测试账号的密码也一般就是弱口令

于是我试了试经典的 13888888888、15888888888、18888888888 都成功发送了验证码!说明存在测试账号!

1723524413_66bae53ddc559115378f6.png!small?1723524414356

抓包,看响应包

1723524434_66bae5521618c85b7e1d1.png!small?1723524434893

好家伙响应包直接返回了验证码!msg不就是验证码的md5值吗,md5解密即可

1723524469_66bae575683e848153773.png!small?1723524469870

输入验证码,登录成功,到这里就从访客权限提升到了普通会员权限了,但是由于是测试账号,没有什么数据

1723524481_66bae581c0413a5e61a70.png!small?1723524482521

OSS任意文件上传

然后果断来到修改头像处,想要试试拿shell

1723524495_66bae58f484663dd8dee0.png!small?1723524495680

结果上传的文件后缀倒没有任何限制,只是全上传到OSS去了哈哈,拿shell是没戏了

1723524515_66bae5a3c4995dd06acd2.png!small?1723524516298

还可以试试看OSS能不能解析HTML,如果可以那么就是一个存储型XSS,当然如果能解析PHP那么就拿shell了(几乎不可能)

1723524535_66bae5b7ca04d9c9b2e5e.png!small?1723524536301

尝试了,所有后缀都是只下载,不解析,但是可以上传任意后缀文件到OSS中

任意用户接管

1723524548_66bae5c40d0e18b4b58be.png!small?1723524548531

看这个修改手机号的功能,一眼就有问题对吧

修改为新的手机号时,他这里只校验了当前手机号,对当前手机号发验证码,没有对新手机号进行校验,因为需要确保这个手机号的确属于你啊,否则就构成了任意用户换绑从而可接管任意用户账号!

大量水平越权

发送验证码,抓个包看看

1723524564_66bae5d4a61da4a0f0117.png!small?1723524567703

嗯?这是个什么操作!?手机号数据直接从前端取出的,因为还带有用来脱敏的星号"*",那么这说明了什么呢?说明他这里没有做身份校验,手机号不是按照用户权限在数据库中取出对应的手机号,而是直接从前端取出的!于是可以大胆推测这里的userid,与phone肯定是没有绑定的!既可以修改userid,又可以修改手机号!

1723524637_66bae61d110d23040bf52.png!small?1723524637542

可以看到,请求包中没有cookie,session等校验用户身份的字段,响应包直接set-cookie了!?那么肯定就是全靠userid来识别用户身份了,像这样的使用userid的来鉴权的点还有非常多,通通都可以水平越权!

既然都可以直接通过userid去set-cookie了,那么遍历一下userid就可以获得全站几乎所有用户的操作权限了撒

接着验证一下上面提到的任意用户接管,发送验证码,填写新的手机号,抓包

1723524662_66bae636daf9689f47138.png!small?1723524663502

果然,可以直接改改手机号连前面的验证旧手机号的逻辑都可以直接跳过了,而且同理,把这个cookie删掉也是也可以直接修改用户的手机号的,也可以算是接口未授权

这里既然发了验证码,那么继续测测看,能不能短信轰炸,经简单的测试发现,虽然响应包显示发送成功,但是实际上还是只能收到一条验证码

1723524687_66bae64fd19572349f37a.png!small?1723524688377

支付逻辑缺陷

接着测一测购买的功能吧

1723524705_66bae6610ac0868e66cd9.png!small?1723524705676

填好表单

1723524717_66bae66d2a0324de76263.png!small?1723524717634

支付时弹了一个窗,嗯?这又是什么操作?直接前端让我选择是否完成支付,而不是调用微信支付的接口去支付?

1723524731_66bae67b0fb46e3cfc1e0.png!small?1723524731859

那么我选已完成支付

1723524750_66bae68e3377322eb3439.png!small?1723524751083

查看我的订单,还真有啊?

1723524762_66bae69ad02d47a14990b.png!small?1723524763430

看看数据包

1723524776_66bae6a8650216b0e00e6.png!small?1723524777083

看这个statusIds是1对吧,也是典中典的逻辑漏洞场景了,这个statusIds代表支付过程完成的步骤,比如正常流程是:

先给你预览订单,让你确认订单,这时statusIds=0

如果确认订单了,statusIds=1

然后让你支付,如果支付成功,statusIds=2

也就是这个statusIds代表支付过程的几个关键的节点,如果各个节点之间没有做好对上一步骤是否真的完成了的校验,那么攻击者可以直接跳步执行逻辑,从而可以跳过支付步骤,直接购买成功!

此时statusIds=1,显示状态为待支付

1723524791_66bae6b73ff4865411b79.png!small?1723524792111

直接改为2,好家伙直接,显示状态为待发货了,成功跳过支付步骤

1723524804_66bae6c495b084fe2c8ae.png!small?1723524805704

信息泄露thinkphp报错

1723524824_66bae6d87eedd1ff63a54.png!small?1723524825065

thinphp反序列化

ThinkPHP V5.0.24版本存在反序列化漏洞

1723524848_66bae6f00993b581f093d.png!small?1723524848615

未授权访问数据库信息

通过手翻burp历史数据包找到了后台 /admin/login/index.html

1723524861_66bae6fd25f67da48b61f.png!small?1723524861707

发现了CMS及其版本信息

直接拿去搜索Nday,果然有一个未授权访问数据库信息Nday

/admin/system.system_databackup/tablelist.html路径可以未授权读取数据库表名

1723524873_66bae7090f2afe10c2552.png!small?1723524873898

直接就读取成功了

1723524894_66bae71e99af162c3059d.png!small?1723524895158

Druid未授权访问

burp插件扫描到的Druid未授权访问

1723524912_66bae73046b6a35cdc543.png!small?1723524913077

1723524924_66bae73c2b7d4267b3ebe.png!small?1723524924764

Redis未授权访问

扫了一下端口发现有6379,redis,尝试连接一下

连接成功,可以直接执行一些redis的命令

1723524935_66bae747b80f46624272f.png!small?1723524936379

就差一点点就可以反弹shell了,结果没有写入的权限,是只读权限

1723524964_66bae764a1a26581f443e.png!small?1723524965199

这篇关于记一次对某佛教系统的漏洞挖掘的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1112551

相关文章

基于Python实现一个简单的题库与在线考试系统

《基于Python实现一个简单的题库与在线考试系统》在当今信息化教育时代,在线学习与考试系统已成为教育技术领域的重要组成部分,本文就来介绍一下如何使用Python和PyQt5框架开发一个名为白泽题库系... 目录概述功能特点界面展示系统架构设计类结构图Excel题库填写格式模板题库题目填写格式表核心数据结构

Linux系统中的firewall-offline-cmd详解(收藏版)

《Linux系统中的firewall-offline-cmd详解(收藏版)》firewall-offline-cmd是firewalld的一个命令行工具,专门设计用于在没有运行firewalld服务的... 目录主要用途基本语法选项1. 状态管理2. 区域管理3. 服务管理4. 端口管理5. ICMP 阻断

Python中文件读取操作漏洞深度解析与防护指南

《Python中文件读取操作漏洞深度解析与防护指南》在Web应用开发中,文件操作是最基础也最危险的功能之一,这篇文章将全面剖析Python环境中常见的文件读取漏洞类型,成因及防护方案,感兴趣的小伙伴可... 目录引言一、静态资源处理中的路径穿越漏洞1.1 典型漏洞场景1.2 os.path.join()的陷

Windows 系统下 Nginx 的配置步骤详解

《Windows系统下Nginx的配置步骤详解》Nginx是一款功能强大的软件,在互联网领域有广泛应用,简单来说,它就像一个聪明的交通指挥员,能让网站运行得更高效、更稳定,:本文主要介绍W... 目录一、为什么要用 Nginx二、Windows 系统下 Nginx 的配置步骤1. 下载 Nginx2. 解压

如何确定哪些软件是Mac系统自带的? Mac系统内置应用查看技巧

《如何确定哪些软件是Mac系统自带的?Mac系统内置应用查看技巧》如何确定哪些软件是Mac系统自带的?mac系统中有很多自带的应用,想要看看哪些是系统自带,该怎么查看呢?下面我们就来看看Mac系统内... 在MAC电脑上,可以使用以下方法来确定哪些软件是系统自带的:1.应用程序文件夹打开应用程序文件夹

windows系统上如何进行maven安装和配置方式

《windows系统上如何进行maven安装和配置方式》:本文主要介绍windows系统上如何进行maven安装和配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不... 目录1. Maven 简介2. maven的下载与安装2.1 下载 Maven2.2 Maven安装2.

使用Python实现Windows系统垃圾清理

《使用Python实现Windows系统垃圾清理》Windows自带的磁盘清理工具功能有限,无法深度清理各类垃圾文件,所以本文为大家介绍了如何使用Python+PyQt5开发一个Windows系统垃圾... 目录一、开发背景与工具概述1.1 为什么需要专业清理工具1.2 工具设计理念二、工具核心功能解析2.

Linux系统之stress-ng测压工具的使用

《Linux系统之stress-ng测压工具的使用》:本文主要介绍Linux系统之stress-ng测压工具的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、理论1.stress工具简介与安装2.语法及参数3.具体安装二、实验1.运行8 cpu, 4 fo

ubuntu20.0.4系统中安装Anaconda的超详细图文教程

《ubuntu20.0.4系统中安装Anaconda的超详细图文教程》:本文主要介绍了在Ubuntu系统中如何下载和安装Anaconda,提供了两种方法,详细内容请阅读本文,希望能对你有所帮助... 本文介绍了在Ubuntu系统中如何下载和安装Anaconda。提供了两种方法,包括通过网页手动下载和使用wg

ubuntu系统使用官方操作命令升级Dify指南

《ubuntu系统使用官方操作命令升级Dify指南》Dify支持自动化执行、日志记录和结果管理,适用于数据处理、模型训练和部署等场景,今天我们就来看看ubuntu系统中使用官方操作命令升级Dify的方... Dify 是一个基于 docker 的工作流管理工具,旨在简化机器学习和数据科学领域的多步骤工作流。