技术分享

合天网络安全技术

一次水平越权,导致平台两万人被修改密码
2019-02-27 10:39

朋友某资讯平台要上线,简单的对他账号认证这一块做了一下安全测试。

repeater暴露出来的若干问题

(1)先找到了Login登录口,短信验证码的请求抓包,然后放到repeater里面疯狂的gogogogo

微信图片_20190227161635.jpg

然后就发现自己被短信轰炸的一脸懵逼

tips:短信轰炸原理  有专门的提供短信接口的服务商,而网站买了服务商的业务。

但在网站的后端逻辑上存在问题,如未对请求频率进行限制等。就产生了定向轰炸。即为我们常说的短信轰炸机。上面所说的是定向用户的短信高频率的发送信息,造成的短信轰炸。而有的网站后台进行限制,禁止向一个用户发送一天超过5条的数量限制。但攻击者则可以进行水平方向的手机号遍历。网站都是买的短信服务。1000条短信多少多少钱;而该问题直接导致了大量的短信资源浪费)。抓一下接收短信验证码的请求,放在repeater里面重放一下,我手机就收到了铺天盖地的验证码     

微信图片_20190227162332.jpg

就一个repeater就发现了若干个问题:

  1. 网站上的验证码未更新,可以被攻击者暴力猜解。

  2. 短信验证码为四位数且为30分钟,为暴力猜解给出了想当长的时间。

  3. 没有限制发送短信验证码的次数和频率,可恶意消耗企业资源。

简单的任意账户密码重置

我们随便输入一个四位数验证码,点击注册后抓到了request请求扔进intruder准备暴力。Payload我们这里选择Bruteforcer设置为四个纯数字,不过是1000个数字,而且是30分钟失效。并且为了防止触发waf,可以把线程调低一些。 

微信图片_20190227162558.jpg

微信图片_20190227162633.png

Intruder经过一段时间的便利后,我们发现了有个数据包明显跟别的长度是不一样的。大家在使用intruder功能时可以关注length,数据包我们是不可能一个个去翻着看的。而筛选出数据包特征,则便于我们方便的查看漏洞信息

微信图片_20190227162746.jpg


水平越权导致全平台两万用户存在风险

经过刚才的问题,我们已经可以通过手机扫号进行盗取任意账户了。如果手机号存在,我们就可以点击获取验证码后,暴力的去破解验证嘛。
但如何才能盗取全平台账户,只通过手机扫号则是个棘手的问题了。

我们把刚才的网址链接取出来,则是这样的http://xxx.xx.com.cn/index.php/Login/login_xxx_pwd.html?niuerid=21926

但是url挺有意思,突然感觉事情好像没有这么简单……

niuerid???

这个参数疑似为用户的ID,例如每个账户都会有一个ID。我又创建了一个账号进行复验,拿到自己的niuerid。最后,一个url就可以通过niuerid改掉我新账号的密码。也就是说,我们打开这个网址,就可以水平越权所有平台账户  

微信图片_20190227162905.png

分析总结

至此为止,我们发现俩中低危。手机验证码无限重放漏洞+水平越权。

这里给出的安全意见:
1、手机验证码至少是6位,而且限制访问次数。
2、每个账号重置的地址,应该是绑定权限的,不能只通过一个参数就重置这么简单。


相关实验 合天网安实验室 也已上线,欢迎小伙伴们前去实践

Burp 暴力破解

实验简介:通过该实验掌握burp的配置方法和相关模块的使用方法,对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题,以此加强网站安全。

实验链接:http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014112610341500001

微信图片_20190227163358.jpg

 

权限绕过

实验简介:越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。通过该实验了解权限绕过漏洞,掌握常见的权限绕过漏洞原理以及漏洞检测利用和漏洞防护。

实验链接:http://www.hetianlab.com/expc.do?ec=ECIDee9320adea6e062018031511354800001

微信图片_20190227163556.jpg


 Get更多精彩实验可点击进入  合天网安实验室  学习哦~❤



 

声明:漏洞已拿去修复,后续的安全测试没贴,毕竟人家是需要上线的业务。笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关。

 

上一篇:WinRAR目录穿越漏洞复现及防御
下一篇:文末附操作实践 | Jenkins远程代码执行漏洞(CVE-2019-1003000)复现
版权所有 合天智汇信息技术有限公司 2013-2018 湘ICP备14001562号-6
Copyright © 2013-2018 Heetian Corporation, All rights reserved
4006-123-731