实战记录-API泄漏+cookie篡改进后台+信息泄露和垂直越权
漏洞一:接口信息泄露
通过注册的账号密码,登录该系统后。可以看到没有任何权限和数据信息。
但拼接接口:/xxx/sys/sysrealaudit/page 获取到用户身份证(含颁发地址),手机号,账号ID等。
并且返回包还携带了泄露的用户的身份证的url地址,直接进行访问。
在网上在线查阅发现身份证都是真实存在的。
然后通过拼接接口拼接:/wxapi/sys/sys/info 获取到服务器OS信息
面对空白页面,或者登陆后的空白后台,建议多寻找系统内的API接口进行拼接测试,肯呢个有意外之喜。
漏洞二:凭证篡改登录后台
访问某后台。
访问抓取数据包,这样添加一个 accessToken=admin
访问:https://xxxxx:8080/#/index,即可成功进入后台
经测试发现,并非拥有完整权限,只拥有部分未授权功能可以操控,比如下面的上传管理可以进行任意删除。
下面的这个功能模块也能进行任意编辑。
漏洞三:标准的垂直越权漏洞测试
3.1 弱口令先通过一个弱口令漏洞进行登录另一个后台,该后台的账号和密码一致,都是一个学生id号或者教师id号,非常简单。
该账号是一个高权限账号,可以操控所有功能。下面就简单介绍几个功能点:后台功能点一
后台功能点二
后台功能点三
3.2 敏感信息泄露登陆后台后,有很多信息泄露可与扩大危害,比如这里可以看到学生或者教师的账号,而且有存在弱口令,默认账号密码都是同一个,所以可以直接登陆。下面可以看到老师的账号。
下面通过学号去登陆教师端,可以看到教师端的个人信息。
然后搜索其他学生账号,然后进行登录,可以泄露大量学生的信息。
通过学号/学号直接登录,可以看到学生信息。
虽然说部分学生个人主页没有填写自己的信息,但是通过高权限账号的预约模块,可以查看学生的预约信息,造成大量信息泄露。
3.3垂直越权
登录普通教师账号,权限(学生<普通教师<管理员)
使用学生端登录该后台,发现只能查看个人主页信息,也就是上面3.1那个信息泄露,其他学生端信息都是看不了,没有信息泄露。
教师端账号登录可以看到部分数据。
把上面教师端显示的那个功能,进行抓包,然后获取数据包的格式,包含API接口和参数内容,然后让学生端进行访问,发现学生也有权限查看。
存在垂直越权。
门禁授权,电源控制等操作只有管理员身份才能操作;
把操作路径记下,放到学生端:
刷新一下,发现通过学生凭证成功进行了越权更改。
因为该系统只是做了低权限的前端不展示,但是实际上他的凭证并没有做权限区分,拿到教师、管理员端的接口后,可以直接使用学生凭证访问。
以上漏洞均已提交漏洞平台进行修复,禁止恶意操作和复现。
官方 
