搜索
查看: 883|回复: 2

freebuf挖洞联盟第一季漏洞精选经验分享

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2016-4-14 23:31:28 | 显示全部楼层 |阅读模式
[/url]
0×00 前言

3月10日-28日,“挖洞联盟”团队赛的角逐如火如荼进行,小编在此精心整理了本次联盟赛中出现的优秀漏洞,希望各位白帽子能有所收获。相信经过了这次安全测试和漏洞修复,厂商的安全性也得到了提高。

0×01 密码找回绕过

[url=https://www.vulbox.com/bugs/vulbox-2016-016879]中华保险商城任意用户登陆绕过 vulbox-2016-016879

重置密码这个业务场景通常分为多步,良心厂商通常会在最后一步再验证一次短信验证码,如此可能会想到爆破短信验证码。如果再做了爆破限制,是否就完全稳妥了?

中华险商城在密码重置上就出现了类似问题:在密码重置流程中,通过修改响应包,绕过短信验证页面

[/url]

进入最后一步,输入新密码:

[url=http://image.3001.net/images/20160406/14599200967154.png]

输入新密码后点下一步,抓取请求包

[/url]

可以看到请求包中仍然会传输短信验证码,所以服务端验证最终是失败的。骗不到服务器,但不要放弃骗浏览器,我们仍然修改状态码为true,果然浏览器被骗了

[url=http://image.3001.net/images/20160406/14599201345572.png]

通常在密码重置成功后会自动登录,所以可以尝试刷新下页面

[/url]

最终,我们骗了浏览器,浏览器又骗了服务器。

0×02 条件绕过

[url=https://www.vulbox.com/bugs/vulbox-2016-017284]绕过招行掌上生活app限制,换取大量商品 vulbox-2016-017284

薅羊毛是现在十分普遍的问题,如首次注册赠送代金券甚至免单,或者优惠活动只能秒杀,并且每个用户只有一次机会。大多羊毛党的惯用伎俩是使用大量手机号来获取优惠,然而还有更简单的办法,利用厂商的一些漏洞实现。

[/url]

在某银行app中,可用超低积分秒杀商品,并且每个人只有一次机会。

[url=http://image.3001.net/images/20160406/14599206899354.png]

此时我们点击立即抢购

[/url]

然后抓包,再开大线程,并发重放

[url=http://image.3001.net/images/20160406/14599207725120.png]

可获取一批有效优惠券但是此处白帽子并没有使用任何工具辅助,也没抓包重放,仅仅是利用麒麟臂点“立即抢购”然后“返回”,重复这个操作,即获取这么多优惠券,可见此类薅羊毛成本极低,仅需一只麒麟臂。

0×03 登录绕过

阳光保险APP登陆绕过,泄漏用户信息 vulbox-2016-017702

登录处可能会存在很多问题,如果出现注入则会导致万能登陆在某保险APP中,登录处填写任意手机号

[/url]

正常提交后返回

[url=http://image.3001.net/images/20160412/14604537907991.png]

再次提交,抓包拼接sql语句

[/url]

可实现万能登录

[url=http://image.3001.net/images/20160412/14604540757820.png]

0×04 账户修改绕过

翼龙贷主站逻辑漏洞可在一定条件下可更改他人账户设置 vulbox-2016-016600

通常金融类应用都会有一个支付密码,以防止用户在账号泄露的情况下财产流失,同时也会对个人敏感信息进行打码。所以即使获取到了用户的账号,登录之后也无法获取敏感信息或执行敏感操作。某P2P金融网站就做了各方面的防护,但仍然存在安全风险。首先对个人敏感信息打了码

[/url]

但只需点击修改信息,所有个人信息一览无余

[url=http://image.3001.net/images/20160412/1460454113837.png]

获取到了用户敏感信息,下一步就想执行一些敏感操作,如转账提现,此时需要知道支付密码,从而走上了找回支付密码的道路

[/url]

证件号码已通过上面那个漏洞获取到,之后考虑邮箱验证,然后去绑定邮箱,提示失败

[url=http://image.3001.net/images/20160412/1460454184475.png]

猜想只能绑定用户认证的邮箱,所以先去个人信息处修改邮箱

[/url]

之后即可绑定成功

[url=http://image.3001.net/images/20160412/14604542359599.png]

最后就可以顺利重置支付密码了

0×05 任意用户密码重置

网利宝可重置任意用户密码 vulbox-2016-016589

在重置密码时,服务端会返回一个sessionid

[/url]

重置密码的最后一步请求包中,发现Cookie中带上了这个sessionid,并且body中没有用户名字段,猜想sessionid是用户标识的密文,或是在服务端与用户绑定的标识字段。

[url=http://image.3001.net/images/20160412/14604543189506.png]

根据这个猜想,先任意输入其他用户手机号,进入密码重置,并获取该手机号对应的sessionid。然后使用自己的手机号重置密码,在最后一步替换Cookie中的sessionid,最终成功重置其他用户的密码。

0×06 越权

国联证券某处越权,导致大量用户密码泄 vulbox-2016-016610

首先通过各种小技巧,找到用户信息未授权访问页面

发现有一列HTTPPassword,通过脚本取出用户名密码哈希字段,之后使用John进行破解,可成功获取大量用户密码。贴2条密文,可识得此加密算法:(Gn0hLj/3RI66QBciXeOT)(G60/bu2yEvEGqfe/gA/c)


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了

0

主题

7

帖子

26

积分

我是新手

Rank: 1

积分
26
发表于 2016-4-15 09:17:43 | 显示全部楼层
好强大。。只是我看不懂。
Mr.冷雪 该用户已被删除
发表于 2016-4-28 22:54:14 | 显示全部楼层
虽然看不太懂,还是感谢楼主分享
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表