一次奇妙的任意使用者登入實戰

合天网安实验室發表於2024-04-22

剛剛進行了微信sessionkey的學習,正準備實戰一下,就發現了這個神奇的網站,預知後事如何。請繼續向下看去

1. 目標

一次奇妙的任意使用者登入實戰

2. 開局一個登入框

一次奇妙的任意使用者登入實戰

3. 首先,直接弱口令走起來,萬一留有測試的賬號呢

一次奇妙的任意使用者登入實戰

嘗試,1311111111,13333333333.13888888888,未果

測試多了還有驗證碼防止爆破,也就不再繼續嘗試爆破了

弱口令g

4. 點選微信快捷登入,發現sessionkey(步入正題)

一次奇妙的任意使用者登入實戰

點選允許,資料包發現sessionkey引數

一次奇妙的任意使用者登入實戰

找到我們github上找到的sessionkey利用外掛,把session_key(加密解密的key)encrypt_data(向資料庫提交的值)iv(偏移量)的值都複製到工具上進行利用

【----幫助網安學習,以下所有學習資料免費領!加vx:dctintin,備註 “部落格園” 獲取!】

 ① 網安學習成長路徑思維導圖
 ② 60+網安經典常用工具包
 ③ 100+SRC漏洞分析報告
 ④ 150+網安攻防實戰技術電子書
 ⑤ 最權威CISSP 認證考試指南+題庫
 ⑥ 超1800頁CTF實戰技巧手冊
 ⑦ 最新網安大廠面試題合集(含答案)
 ⑧ APP客戶端安全檢測指南(安卓+IOS)

但是怎麼找到這個系統使用者的手機號呢(萬能的貼吧,抖音等地方獲得了老師的手機號)

一次奇妙的任意使用者登入實戰

成功登入,任意使用者登入加

5. 發現這個接收了sessionkey的加密資料後,還會傳送一個繫結手機號的資料包(又一個任意使用者登入)

一次奇妙的任意使用者登入實戰

修改請求包的user引數,發現沒有鑑權,直接輸入使用者手機號即可繫結登入

感覺離譜,任意使用者登入又加

6.輸入名字即可檢視學生學籍資訊(編碼解碼後名字為張傑)

一次奇妙的任意使用者登入實戰

敏感資訊洩露加

7. 維修處可以上傳圖片,嘗試利用

一次奇妙的任意使用者登入實戰

準備試試繞過,結果白名單加黑名單過濾,檔案上傳gg

但是刪除檔案發現是直接DELETE請求,還是直接刪路徑,只能說開發太牛了,真的離譜

一次奇妙的任意使用者登入實戰

測試不同使用者檔案可以直接刪除,沒有進一步嘗試(害怕系統崩潰),任意檔案刪除加

8. 發現這個還有一個預約平臺,鑑於上個系統的離譜,繼續嘗試利用(非原圖,原圖特徵太明顯了)

一次奇妙的任意使用者登入實戰

進入後發現只有驗證碼登入

一次奇妙的任意使用者登入實戰

嘗試爆破四位數驗證碼

一次奇妙的任意使用者登入實戰

成功登入,任意使用者登入又加1

總結:

第一次碰見這麼多的任意使用者登入,建議加強鑑權,隱藏sessionkey值,登入設定次數要求,防止爆破。另外,進行漏洞挖掘,建議證明即可,未經客戶允許禁止擴大危害,盲目擴大危害可能有法律風險。

更多網安技能的線上實操練習,請點選這裡>>

相關文章