freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次由验证码绕过到越权访问的实战记录
2022-08-02 15:23:51

0x前言

本文章主要记录一个我在工作中遇到有意思的逻辑漏洞,可惜最终上传成功了木马但是没有getshell,思路卡住了。本文所涉及的漏洞在文章发布前已做好漏洞修复工作,且是已授权的渗透测试。因为系统涉密原因,所以对一些涉及到url,系统名称的地址会进行打码操作,影响观感,实属抱歉。

0x测试流程

进去之后发现还挺多功能点的,不是单纯的登录界面。

1659423561_62e8cb49b2c8d98ce1e8d.png!small?1659423562709

打开注册页面

1659423596_62e8cb6c46daabe5f3885.png!small?1659423597120

因为不想用自己的信息登录就随便输入了一个手机号码以及验证码

1659423625_62e8cb898d944d9441722.png!small?1659423626374

结果发现在验证码错误的情况下还能注册成功,这可真是秀到我了,验证码形如摆设

1659423658_62e8cbaa5f8b58aec3972.png!small?1659423660172

通过bp发包确认一下是否真的注册成功,可以看到名称已存在,那么说明之前注册成功了,那就是一个妥妥的验证码绕过了

1659423683_62e8cbc36d9081cf6adc2.png!small?1659423684370

去登录页面输入刚刚注册的用户,显示需要审批才能进行登录,这个时候有意思的来了

1659423725_62e8cbed6279165b1ef78.png!small?1659423725953

返回首页之后刷新一下页面,居然自动登录了,看到用户的注册状态还是审批中,但是可以使用该用户进行操作。

1659423745_62e8cc01b6c9d6f34a5fd.png!small?1659423746608

翻了一遍模块之后没发现只有系统跳转模块有点看头

1659423787_62e8cc2b44c75ced1de1a.png!small?1659423788085

跳到其他区级系统之后奇迹般的居然给我审批通过了

1659423827_62e8cc53e0c4a81dc632e.png!small?1659423828552

在跳转到其他的资源目录获取到一些信息

1659423861_62e8cc751ba809ca334f4.png!small?1659423861724

问了一下那边负责运维的同事,发现都是一些公开的信息。

1659423901_62e8cc9d1612ff1945162.png!small?1659423901538

在新建一个管理员的了,看看能不能看到更多的信息

1659423927_62e8ccb73165b1ecb9a1f.png!small?1659423928153

1659423944_62e8ccc8b7a21739c72b9.png!small?1659423945451

访问了一下运维系统,结果也是不行

1659423962_62e8ccdaece6ad5cf503d.png!small?1659423963390

最后翻了一下,给我翻到一个数据源管理,

1659424325_62e8ce455c7e4831fd8f1.png!small?1659424325980

可惜这里不能获取到它的数据库连接信息,只能自己上传一些文件去连接,没感觉有太大用处

1659424343_62e8ce5717e818fa5af88.png!small?1659424343738

按照惯例有上传点就上传一下php文件,不出所料的上传错误了

1659424364_62e8ce6c5d87365ec5dc6.png!small?1659424364868

fuzz了一下,估计是底层做了白名单限制,只允许上传白名单后缀的文件

1659424386_62e8ce8274e500b48ab7b.png!small?1659424387070

既然白名单那就尝试一下%00截断

1659424404_62e8ce94bb3376e9d8cc8.png!small?1659424405426

结果发现还真的可以上传成功

1659424417_62e8cea1c7e2a8fad4afc.png!small?1659424418531

可以看到所属文件类型确实是php文件

1659424441_62e8ceb98a5405051b823.png!small?1659424442182

1659424457_62e8cec973f5426940707.png!small?1659424457988

不过这里上传点没用,后面尝试了一下asp,主要上传之后没有回显地址,也连接不上。没找到有其他的漏洞能打一套组合拳,无奈只好收工,不过总体感觉还是挺有意思的。

本文作者:, 转载请注明来自FreeBuf.COM

# 渗透测试 # web安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦