<
SRC逻辑漏洞挖掘浅谈
>
上一篇

谈js静态文件在漏洞挖掘中的利用
下一篇

代码审计之PHPWind

SRC逻辑漏洞挖掘浅谈

1.资产收集

1.1业务范围

巧用搜索引擎首推谷歌查看了解SRC旗下涉及到的业务,收集其对应的业务下的域名,再进一步进行挖掘,如:

1

2

整理,再进行常规资产收集

3

1.2常规性质资产收集

基本的资产收集方式:子域名枚举、端口扫描、路径扫描、旁站c段查询

1.3信息泄漏

猪猪侠weakfilescancansinasensitivefilescan、FileSensor

Screenshot-banner-filesensor

8

​ 2)json敏感信息泄漏

12

13

目前发现关于这部分没有发现比较好的收集工具或脚本,因此打算写一个,目前还正在编写中,主要基于chrom协议、pyppeteer框架动态触发爬取包含ajax以尽可能的收集到url、接口、域名:

a)网站源码涉及到的子域名ur接口资产爬取

b)网站源码js中包含的请求或拼接的访问接口

c高级功能)url接口中json信息泄漏识别

1.4其他业务查找

微信公众号绑定接口、app、老旧的登陆接口、版本迭代

2.越权

3.逻辑漏洞

任意用户注册、密码重置、密码找回、

3.1本地验证、修改返回包

1)获取验证码后任意输入一个验证码。

图片9

2)抓包放行,得到的返回包如下

图片10

3)抓包改返回包修改为正确的返回包覆盖错误的返回包,如下

{“code”:1,”data”:”目标用户手机号”,”msg”:”绑定成功Ÿ”}

图片12

4)放行,修改成功

图片13

3.2手机号、验证码、用户未统一验证问题

​ 未对原绑定手机号、验证码、用户未统一验证,或验证码未绑定 只验证验证码正确,没判断用户id 或手机号,修改想改的id 正确手机验证码即可

如密码找回重置时未对原绑定手机号验证进行任意账号密码重置

9

10

150**73账号被重置

11

3.3密码重置类其他逻辑问题

  1. 以重置成功的token覆盖最后一步错误的token和1类似。
  2. 密码重置时删除mobilephone参数值修改email参数值
  3. 假如找回需要4部,最后一部有user参数,用自己账号正常到第三部,第四部修改user实现

4.支付逻辑漏洞

5.步骤,可跳过步骤

酒店..

6.爆破、枚举

  1. 撞库,登陆时无验证码且可无限被尝试,用户名验证时有无用户名错误回显、密码可被爆破

  2. 无验证码,验证码不刷新,验证码4位过于简单无尝试次数限制可被爆破、

  3. 枚举注册用户 输入用户名,发送请求验证用户名是否正确(若返回次数限制,可测试服务端未限制高频访问)

  4. 登陆失败有次数限制,若包中有限制参数可更改或删除参数

  5. 邮箱轰炸,短信轰炸,burp Repeate,短信轰炸验证码有60秒限制时,有的参数修改后可绕过 如

    1)isVerfi参数 这里是1 回包 3 手机没收到信息 存在验证码限制

    逻辑1

改为0 回显2 绕过了验证码限制

逻辑2

7.其他

第三方账户登录绕过(拦截微博授权成功的请求地址: https://api.weibo.com/oauth2/sso_authorize?sflag=1 修改response中uid,服务端没有校验客户端提交的uid与授权成功的uid相同)

8.总结

耐心。细心测试更多参数、

不断的向大佬交流学习新思路

注重安全开发

知识积累,漏洞多

Top
Foot