钓鱼佬永不空军！！看我如何社g搞定学姐继而接管站点全部权限，“严重”漏洞横空出世

原创 xjizhi GG安全 2024-05-12 15:08

现在只对常读和星标的公众号才展示大图推送，建议大家能把
GG安全
“设为星标”，否则可能就看不到了啦!

免责声明

本文章仅
用于分享信息安全防御技术，请遵守中华人民共和国相关
法律法规，禁止进行任何违法犯罪行为。作者不承担因他人滥用本文所导致的任何法律责任。

本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失，GG安全公众号和原文章作者不承担任何责任。如果出现任何后果，请使用者自行承担。如果有侵权行为，请告知我们，我们将立即删除并致以道歉。谢谢！

知识先导

GG安全

故事纯属虚构！！情节皆是编造！！如有类似纯属巧合！！

在这里我向各位师傅们解释一下，因为发出的是实战文章，其中可能会涉及到一部分还未修复的漏洞，并且会涉及到大量的个人隐私信息，所以能发出来就已经很不错了，请各位师傅原谅文章中出现的厚码，毕竟需要完全确保没有任何敏感信息或者敏感的漏洞细节暴露出来。

社g社g，先拿下学姐

首先是在一次信息收集中发现了一个看似比较普通的学校站点

但是苦于没有密码，这个我相信也是很多师傅在测试阶段很苦恼的事情，毕竟目前的系统来讲普遍对于弱口令的情况都有了很高的防护措施

这里
我分享一下我一般都如何通过“社g”手段获取到账号的

1、某贴吧，检索关键字：捡

这里很多师傅应该也会来逛一逛，总有些热心大哥会带来奇效

2、表白墙（这里故事纯属虚构，如有类似纯属巧合）

作为一个合格的大学生，我很是理解校园表白墙的“
好作用”，只需要稍稍的伪装一下，就可以光明正大的挂出需求，只要别太离谱一般都不会被墙墙给拒绝的

果然大学生的八卦之心还是十分热情的，没一会工夫真的就有热心群众把消息反馈给了墙墙，从而辗转到了我的手上

之后添加了漂亮学姐之后就进行了各种吹嘘，诸如我是一个“185的大一新生，会唱跳rap，篮球打的贼溜”
等等，中间省略一万字巴拉巴拉

感觉到这个学姐已经很感兴趣了，借助大部分校园系统中都会存在的请假功能入手，直接趁热打铁

此时漂亮学姐也是恋爱脑上头所以很爽快的答应了，这里大家脑补一下画面就好，直接略过开始正文

越权越权-逻辑king

登录已有的账号密码

漏洞1：水平越权

在个人信息处存在越权，直接修改传参xsid（连续可遍历）的值即可

漏洞2：
敏感信息泄露

在请假、申请等功能点处存在审批人（高权限账号），前端只显示了姓名，但是抓包直接可以看到账号密码信息

返回数据包中直接含有明文的账号密码

漏洞3：水平越权

高权限账号这里可以越权查看其他年级的信息，至此整个学校的数据分已经拉满了

漏洞4：
垂直越权

在js文件中翻到了admin字样的接口，直接拼接访问，又发现了可以直接获取全校用户信息及账号密码的接口（区别于上一个漏洞，上一个是只能越权看到全校学生信息，这个漏洞是所有账号，包括老师在内）

漏洞5：垂直越权

发现
在老师账号权限下查看学生信息的功能点上存在垂直越权，将请求数据包中老师账号的JSESSIONID换为学生账号
的
JSESSIONID，Referer里的userName参数也换为学生账号userName参数值，学生账号既可直接越权使用到老师权限的功能，可以直接获取到全校学生的个人信息，这个图由于是全部打码了，自行脑补就行，这里就不放了

思路总结

低权限账号用户通过正常业务流程就可以获取到高权限账号数据，从而接管高权限账号权限

在这个过程中一共发现了5个漏洞点（其实算6个），接管了web站点的全部使用权限

漏洞1：低权限账号
功能点处水平越权

漏洞2：正常业务功能点处存在敏感信息泄露

漏洞3：高权限账号接管（登录无验证）

漏洞4：高权限账号功能点处存在水平越权

漏洞5：高权限账号功能点处存在垂直越权（js文件中泄露接口地址）

漏洞6：低权限账号可以垂直越权使用高权限账号的功能（只对登录做了鉴权，鉴权方式不完善）

逻辑漏洞混子也能上“

严
重”漏洞，所以师傅们在测试过程中一定要细心，小小的功能点蕴含大大的惊喜

猎杀时刻

✦

再次声明：本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失，GG安全公众号和原文章作者不承担任何责任。