通过发现隐藏的参数值实现任意用户登录
0x01 前言
最近一段时间身体不适,微信多位师傅好友申请以及公众号留言没来得及回复,麻烦师傅们见谅。
我一直认为漏洞挖掘的根本在于信息收集,如:子域名,隐藏的接口,隐藏的参数等等。下面我将分享一次通过发现隐藏的参数从而实现任意用户登录的经历。
0x02 漏洞背景
一次众测项目,授权对目标子域进行渗透,我们称目标为target.com。
0x03 漏洞挖掘过程
使用bbot对目标子域进行收集,关于子域名收集,推荐一篇很好的文章,文章地址:https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off,其中比较了业界顶级子域枚举工具。
我们得到一个这样一个存活的域名:big-data.target.com。对于这样的域名,我一般使用fuzzdomain对其进行类似域名的爆破,设置如下。
我们爆破出这样一个域名:manage-data.target.com,其开放了443端口,访问页面为一个登录框。
由于页面无防暴力破解机制,对其进行暴力破解,未成功爆破出账号密码,但是由于存在用户名枚举,我们成功爆破出一个cadmin的账户。
观察一下登录的报文,如下:{"username":"cadmin","password":"123456"}
,此时将123456改为true,对password参数进行暴力破解,字典为自己收集的英文单词字典。
成功爆破出一个参数soap,其返回包成功返回了其用户名密码。
为什么会有这样的思路,因为在此之前我挖到过不少的任意用户登录,我将其参数对比了一下,其中大多的参数都包含用户名,另一个参数大多不同,但其参数值大多为ture,1,或为0。
0x04 厂商反馈
获得最高评级以及4000元的漏洞赏金。
如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放
