漏洞原理
网站开发人员在建设网站时,由于验证不严格,导致错误http://www.Sina.com/
任何用户重置密码
收回/越权
以任意金额购买
绕过验证码
…http://www.Sina.com/http://www.Sina.com/http://www.Sina.com /
自行搭建的登陆平台漏洞危害
更改密码会将更改的url发送到指定的邮箱,该url将长期有效。 (url包括用户名和令牌)漏洞利用
1 .成功注册用户,获取忘记密码时找回密码的url
2 .将URL中的用户名更改为其他用户并解密后续令牌(其中实验环境中的令牌是用用户名加上用md5加密的用户名并由base64编码) ) )。
示例:更改用户zs的密码
zs原始密码:
更改zs密码:
输入:
http://127.0.0.1/loudongxuexi/ljldmimachongzhi/user/zhaohui mima.PHP? act=chongzhiusername=zsr=ennmnjcwnmq1zgizywqwotrjzmfizdhmyjuzmjzmmwvlyw==
效果:之后将密码更改为111
更改后的psdxh密码:
总结:
漏洞通过令牌长期有效,因此zs用户必须自行修改密码才能生成令牌。 我们利用令牌长期有效地使用zs的密码http://www.Sina.com/http://www.Sina.com /
级别越权(越权)横向、一般用户-一般用户,例如zs可以获取ls的所有权限和信息
垂直越权(权限转让)纵向,例如普通用户(管理员(系统管理员) http://www.Sina.com/http://www.Sina.com /
系统管理员:允许添加管理员和删除一般用户
管理员:检查站点内容并确认一般用户
普通用户:浏览、评论、发布内容一.修改任意用户密码
例如,在站点中添加/删除用户具有以下条件:
1、从页面开始进行。 一般用户,管理员页面没有此链接。 系统管理员页面包含
2、验证是否为系统管理员
如果只执行第一步而不验证第二步,或者第二步验证不完整,则仅验证普通用户,而不验证管理员,则漏洞环境:
获取和访问更高级别用户特定链接以及在存在漏洞时修改页面的权限条件:
a .登录系统管理员。 接口如下
b .单击“添加用户”复制url
3358 localhost/pikachu-master/vul/over permission/op2/op2 _ admin _ edit.PHP
c .切换为普通管理员
d .直接访问上面的网站,用户http://www.Sina.com/http://www.Sina.com /
a .查看用户订单信息
登录-仔细查看个人订单信息。 每个订单都有对应的id,可以将自己订单的id更改为其他订单的id,如果存在漏洞,可以查看他人的订单信息
b .查看用户的个人信息
同上,把自己的name变成别人的name
例:登录高清yt,在高清yt页面上将其重命名为lili
c .任何帐户登录
常规登录过程:输入帐户密码服务器验证session信息(失败:(「status:0”、消息' shibai ' )、成功: )“status:1”、
漏洞利用:查找已注册的帐户,输入密码,抓住页面响应包,将回复数据发送到常规登录数据漏洞复现
a .商品采购流程
选择商品-启动订单请求-服务器确认订单-生成支付界面(1000元) -发送到前端-用户支付-银行返回支付成功-订单完成
b .脆弱性原理
1 .购买任意金额的商品
把支付1000元时的账单放进包里,把1000修改为0.1,以后再支付,支付成功后再回到包里,就会达到0.1元购买1000元的商品
2 .购买任意数量的商品
把付款请求放进包里,把金额改为-1,把数量改为1,可以拿到1赤字,一本书二.提权、越权
a .验证码作为文本返回页面
可以用能够分析js和其他html的语言提取认证码
b .验证码作为图片返回前端。 图像太简单了
基于bp插件captcha的验证码识别
C.yz.php用于生成验证码
我先发送请求。 通过img src=yz.php获取验证码。 如果在后台逻辑中输入验证码一次后没有空,则使用一个验证码形式
之后继续更新