0


SRC实战:改个返回包就严重了?

生活就像自行车,要想保持平衡,必须不断前进。—— 爱因斯坦

周一仿佛就是那个提醒你“不能停”的日子,哪怕你的心灵还没准备好继续前进。

0x00

经过长达一天的周末过后,又要开始上班啦。大周一的,还是老样子,来点技术向的文章,给大家伙提提神咯~
好久没有更新 SRC 实战系列了,刚好前段时间遇到个比较有意思的洞,和大家分享一下吧。

除去信息收集的时间,这个漏洞大概花了1个多小时,最后是给的是严重。

警告:文章较长,全文无图。如果对漏洞挖掘或者技术类不感兴趣的朋友看到这里就可以了,不要再继续往下滑动折磨自己了。

说明:主要讲思路和过程。因为截图涉及到大量的敏感数据,这篇文章又是在仅有一个周日写的,不想花时间去打码了。我只想休息~~~~

0x01

遇到的这个站点是一个主站的管理后台,拿到这个站点的时候,简单地看了一下,没有注册功能,也没有找回密码,就一个简单的登录,然后还带有滑动验证。 所以登录相关的功能都可以直接放弃了,没有短信轰炸,不能爆破,怎么办?

如果有看过我之前文章的朋友们应该知道,这种站进不进得去再说,首先我肯定是要来一波未授权测试的,解析 JS 拿到所有的接口路径,直接扔到 BP 里面跑一波。

具体怎么获取接口路径,不管是熊猫头还是 BP 插件都可以,看个人习惯。

在跑了一遍接口之后,发现有部分接口确实有可能存在未授权!为什么这么觉得呢?因为部分接口跑出来的HTTP 响应码是 400 或 500。那下一步应该做什么?没错,去 JS 代码里面找对应接口的参数咯,这样才能正常调用。

为什么 400 和 500 的 HTTP 响应码可能存在未授权?这部分可以看我之前的文章:【HTTP状态码很简单,但你在漏洞挖掘的时候真的有关注过这些吗?】

0x02

上面流程都挺正常的,但是我万万没想到的是,这个站的参数加密和代码混淆做得太好了,真不是给人看的!

首先是加密,所有参数全部使用了

RSA + AES

的方式进行加密,不仅如此,还对参数进行了复杂的

签名验证

其次是代码混淆,我可以说从没见过混淆得如此杂乱的代码!要找一个调用链的难度太大了。

我尝试了大概半小时,宣布放弃,我正式承认是个 JS 小弱鸡。

0x03

本来我已经准备放弃这个站点了,登录又登录不进不去,接口参数也处理不了,那还能怎么办?

等一下,登录不进去?那我如果可以伪装成登录进去了呢? 是不是就可以不用考虑参数加密这部分了?因为按正常流程的话,这部分行为网站自己会完成的啊

这时候我决定进行最后一次尝试,如果这个思路还不行的话,就只能放弃这个站点了。

0x04

首先还是得去翻 JS(我要吐了),需要找到网站是怎么处理登录成功的请求的,这样我们才能知道在修改登录响应包时,需要返回什么样的数据,我一般会通过以下几种方式去找:

    1. 直接通过登录接口搜索,查看登录成功的接口回调是怎么处理的。但是如果代码混淆很厉害,可能找不到。
    1. 全局查询设置 LocalStorage 的地方,现在的很多网站,一般在登录成功后,会把部分用户信息,比如 ID 之类的,放到浏览器本地存储,也就是 LocalStorage 中,所以可以尝试直接全局查询设置本地存储的方法。
    1. 搜索常见用户属性,因为代码再怎么混淆都可以,但是响应的对象属性是不会变的。一般登录响应都会返回用户信息,比如:userIdaccountIdroleuser_type等,通过这些属性去搜索。

很幸运,我在查询 localStorage 的设置方法时找到了对应的登录响应结构,其它不多说,主要有两个核心的属性,一个是 user_id,另一个是 role_type。很明显,一个是用户的 ID,另一个是角色类型,很可能决定前端展示哪些功能的。

role_type

的类型是整数类型,很好处理,一般来说就是 0、1、2、3 这种,多试几次就行了。但是

user_id

就不好搞了,我去哪里找一个合法的用户 ID 呢?而且它还是一个字符串类型, fuzz 不太现实。

虽然嘴里说着不太现实,这里我还是尝试简单的 fuzz 了一下各种长度的整型,发现果然不行。

0x05

在卡了一段时间后,我决定换一个思路。既然 fuzz 不出来,那我可以去找网站自己泄露的,因为 ID 一般不属于敏感信息,很有可能会通过各种接口暴露出来。我决定去这个管理后台对应的前端主站点寻找。

一般来说,既然管理后台,那肯定有对应的普通用户的入口或者网站。

在找到对应的网站后,怎么来找管理员的 ID 呢?我的话,首先要找的就是各种公告、通知,因为这些一般都是由管理员发布的。干过开发的都知道,一般这种文章类型,肯定会有一个创建人 / 发布人 / 修改人 之类的字段,里面存的就是对应用户的 ID,这种非敏感字段,很可能会在获取文章信息的时候,一并返回。

果不其然,在 BP 中查看获取公告列表的返回包时,里面包含了一个创建人 ID 的字段,很长的一个字符串。在拿到了这个用户 ID,我们的最后一块拼图就集齐啦。

0x06

再次回到管理后台,拦截登录请求包,将我们自己构造的用户信息返回去,发现成功进入了后台!虽然大部分功能还是无法访问,但是还是有一小部分功能是可以使用的,且这些功能泄露了大量的敏感数据。

0x07

最后,整个过程就是这样啦,虽然说到底还是逻辑漏洞,还是未授权,说得简单点,不过就是改了一个返回包而已,但是我觉得整个过程还是有点意思的。希望可以给各位师傅们一点新思路吧~(关注有嘛?要不点个赞和在看也可以嘛)


欢迎关注我的公众号“混入安全圈的程序猿”

更多原创文章第一时间推送


本文转载自: https://blog.csdn.net/ooooooih/article/details/140304199
版权归原作者 混入安全圈的程序猿 所有, 如有侵权,请联系我们删除。

“SRC实战:改个返回包就严重了?”的评论:

还没有评论