經(jīng)常聽(tīng)到有老鐵在群里說(shuō)面對(duì)各種src站點(diǎn)無(wú)從下手���,沒(méi)有思路,望眼欲穿�,輾轉(zhuǎn)反側(cè)。而我是游走在夾縫中的撿漏小徒弟�,從沒(méi)有挖過(guò)嚴(yán)重,高危也只是偶爾�����,但是低危中危卻和我很有緣���,俗話說(shuō)質(zhì)量不夠數(shù)量來(lái)湊��,挖不到一個(gè)嚴(yán)重那就挖二十個(gè)低中吧�。本次就想把a(bǔ)pp中一些撿漏的小姿勢(shì)分享一下�。(看到這大佬們可以繼續(xù)去挖嚴(yán)重了>_<)
本文涉及知識(shí)點(diǎn)實(shí)操練習(xí)
1)URL跳轉(zhuǎn)漏洞:通過(guò)實(shí)操了解url跳轉(zhuǎn)漏洞原理,掌握常見(jiàn)的url跳轉(zhuǎn)漏洞利用及防護(hù)��;
2)滲透權(quán)限規(guī)范:通過(guò)實(shí)操了解邏輯漏洞中的權(quán)限漏洞�����,包括平行權(quán)限漏洞與垂直權(quán)限漏洞
正題
一、善于發(fā)現(xiàn)URL跳轉(zhuǎn)
之前說(shuō)最快發(fā)現(xiàn)URL跳轉(zhuǎn)的方法是抓包篩選302跳轉(zhuǎn)的鏈接��,但是有時(shí)候url跳轉(zhuǎn)也存在于200的請(qǐng)求包�,如果細(xì)心一點(diǎn)便不難發(fā)現(xiàn)(100塊呢)。
例如:
通過(guò)下列幾個(gè)200返回包可以看到返回包中存在goto�、returnUrl、signUrl字段稍加修改即可跳轉(zhuǎn)����,希望大家的思路別局限在302中,細(xì)心搜尋200返回包也會(huì)有所收獲的�。
二、遇見(jiàn)參數(shù)就改改
看到這個(gè)欄目應(yīng)該就知道這里說(shuō)的是各種越權(quán)了��,基礎(chǔ)的就是通過(guò)修改各種參數(shù)來(lái)達(dá)到開(kāi)外掛的效果�。這里就簡(jiǎn)單舉幾個(gè)我遇見(jiàn)過(guò)有點(diǎn)兒意思的例子:
-
-
兌換商品處反向積分充值
都說(shuō)購(gòu)物商場(chǎng)一旦出了安全漏洞����,損失將會(huì)十分慘重,就比如最近的某多多雖然追回了部分用戶薅的羊毛���,但是花費(fèi)的人力也是很多的�。這次碰到的這個(gè)問(wèn)題就是在積分兌換處,值得一提的是此處研發(fā)蠻聰明的只用了商品的id和商品的數(shù)量來(lái)和后臺(tái)的金額換算積分����,但是卻沒(méi)有對(duì)數(shù)量做限制導(dǎo)致可以將其修改為負(fù)數(shù)進(jìn)行充值。
其實(shí)這里可以繼續(xù)分析一下那就是他為了修復(fù)這個(gè)問(wèn)題還應(yīng)該做的一步操作是限制充值積分的唯一入口���,這樣就算此處利用漏洞修改了積分但是在充值的時(shí)候進(jìn)行充值入口校驗(yàn)就能防御此問(wèn)題�。
-
-
惡意占滿預(yù)約通道:
部分app中會(huì)有預(yù)約功能�,首先點(diǎn)擊預(yù)約的時(shí)候嘗試修改id發(fā)現(xiàn)提示禁止此操作,突然心一涼原來(lái)做了限制��,這時(shí)候可能有些老司機(jī)就不在此地浪費(fèi)時(shí)間了�,而抱著僥幸心理的我繼續(xù)碰碰運(yùn)氣吧。終于在預(yù)約功能處突然發(fā)現(xiàn)了此處頁(yè)面存在遍歷id的越權(quán)預(yù)約����,嘗試遍歷后從頁(yè)面上可以知道預(yù)約滿了后會(huì)提示已滿而且無(wú)法選擇。那思路就來(lái)了�,可以通過(guò)越權(quán)不斷遍歷每一個(gè)店鋪的每一個(gè)時(shí)間段來(lái)達(dá)到全通道占滿來(lái)阻止用戶享用此功能實(shí)現(xiàn)了類似功能ddos 的效果。
-
-
越權(quán)刪除留言
這個(gè)漏洞其實(shí)很簡(jiǎn)單��,之所以要列出來(lái)是因?yàn)橛X(jué)得還是有點(diǎn)必要的�,此處的留言的id其實(shí)是加密的,但是一個(gè)致命性的失誤導(dǎo)致加密成了擺設(shè)。如圖可以發(fā)現(xiàn)加載留言版的時(shí)候會(huì)返回一個(gè)guid 和messageid��,但是在刪除留言的時(shí)候調(diào)用的是guids�,通過(guò)對(duì)比發(fā)現(xiàn)guid=guids,這樣即可把越權(quán)刪除留言:
從這個(gè)問(wèn)題也可以稍作思考�����,那就是如果遇見(jiàn)了不那么愚蠢的guid 和guids字段�,其實(shí)也可以嘗試一波^>^。
三�、短信轟炸的另類方式
常見(jiàn)的短信轟炸的方式相信大家都有所了解,那就是抓取一個(gè)短信發(fā)送的數(shù)據(jù)包進(jìn)行不斷重放達(dá)到轟炸的目的��,還有通過(guò)電話號(hào)碼遍歷來(lái)達(dá)到短信資源池消耗(這個(gè)不得不說(shuō)一下���,大公司是不會(huì)存在這種問(wèn)題的�����,因?yàn)槎绦呕径际敲赓M(fèi)的>_<�����。所以src也會(huì)忽略處理)。下面舉的例子是特殊的短信轟炸的方式:
1.某app中有一個(gè)類似于機(jī)場(chǎng)叫車的功能,功能是:用戶先下單平臺(tái)后臺(tái)自動(dòng)發(fā)送預(yù)約短信到用戶手機(jī)�����,這就比較有意思了�����,下面提供利用的思路��。
首先下單����,抓取到的數(shù)據(jù)包中userPhone參數(shù)可以自定義沒(méi)有限制本機(jī),也沒(méi)有進(jìn)行校驗(yàn)����。這時(shí)候還要注意返回包返回了訂單的編號(hào)。
其次進(jìn)入功能點(diǎn)點(diǎn)擊取消訂單����,抓包可以看到傳送的orderNo正式訂單的編號(hào)。
這樣就能夠通過(guò)不斷下訂單再取消訂單來(lái)實(shí)現(xiàn)短信轟炸�,而且叫車服務(wù)還有一個(gè)功能就是當(dāng)你下了個(gè)訂單未取消出發(fā)前半小時(shí)司機(jī)也會(huì)打電話聯(lián)系你,算作電話騷擾嘿嘿�。
2.遇到過(guò)一個(gè)面向車主的app,部分開(kāi)發(fā)人員認(rèn)為無(wú)法獲取車主手機(jī)號(hào)便可以不用管驗(yàn)證碼發(fā)送接口的限制,但是通過(guò)關(guān)聯(lián)的app泄露了此處的手機(jī)號(hào)即可實(shí)現(xiàn)小范圍版短信轟炸���。此處不方便傳圖就簡(jiǎn)述一下思路���,比如說(shuō)某滴,那就會(huì)有某滴車主和某滴app�,你通過(guò)打車獲取到的電話號(hào)碼就是車主的登錄手機(jī)號(hào),一般為了方便司機(jī)都是手機(jī)號(hào)碼短信驗(yàn)證登錄����,如果此處沒(méi)有重視短信次數(shù)限制,那就可以出現(xiàn)短信轟炸���,可以通過(guò)修改定位來(lái)獲取不同范圍內(nèi)的車主手機(jī)號(hào)(以上關(guān)于某滴只是舉個(gè)栗子�����,某滴的安全系數(shù)還是會(huì)高一些的)��。
上述就是大致思路��,再來(lái)講講細(xì)節(jié)����,此處的手機(jī)號(hào)獲取是需要抓包的����,因?yàn)槭紫仁强头?lián)系你是否需要幫助,說(shuō)了需要后客服會(huì)下單反饋給司機(jī)聯(lián)系用戶�����,此時(shí)app頁(yè)面不顯示手機(jī)號(hào)���,但是通過(guò)抓取該頁(yè)面訂單的返回包即可查看到車主手機(jī)號(hào)進(jìn)行短信轟炸咯���。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
