逻辑漏洞


1.突破功能限制漏洞。要求突破查询按钮disable限制,获取编号:110010的查询内容

(弹框中的flag)。

查询元素样式发现,元素上设置了伪类disabled,去除伪类表单即被激活可提交

img

img

img

查询结果成功

flag{byp4ss1s_ez}

2.用户信息泄漏漏洞。通过回显信息,以暴力破解方式猜测系统中存在的两个用户名

(提示:用户名以 “u” 开头),并暴力破解这两个用户对应的密码。

img

根据提示,猜测u开头即为user或user后加数字,测试user user0-5

利用burp Suite Intruder模块的Cluster bomb功能结合弱密码表进行爆破查询

img

可以看到user,user1触发了302重定向意味着密码正确,暴力破解成功

现实环境中,可利用拖库得到的密码表配合sniper对其他目标网站进行撞库,提高入侵概率

3.越权漏洞。通过上一步破解的用户名密码登录,利用越权漏洞获取admin与admin1的个人信息。

观察cookies可发现cookies在url解码后,有明显base64特点,解码发现,值实际为user与用户名一致,利用这一漏洞可构造admin,admin1的cookies

将页面http://localhost:8993/web/info.php发送到Burp Repeater

img

准备利用Cookie漏洞构造admin1的登录Cookie:

Burp Suite构造admin1的Cookie

向用户详情页http://localhost:8993/web/info.php提交替换的Cookie

img

img

成功触发越权漏洞。现实中cookies大多基于用户某一特征生成,如果掌握了cookies构造方式并暴力破解计算出密钥即可提权,解决方案可以是cookies采用非对称加密增大破解成本

4.遍历漏洞。已知当前系统中存在的一个学号为:20190504035XA01。利用遍历漏洞获取其他学号对应的成绩(不少于5条)。

利用burp Suite Intruder模块的Cluster bomb功能,猜测前面的年份,班级号和后面的个人ID可变。修改学号的年份,和班级号和后面的个人ID的最后一位,计算笛卡尔积尝试遍历暴力破解

img

遍历组合观察结果发现除测试的0外共8条记录response的length不一致,与其他相比较长,这表示学号内有成绩,学号有效。其中有成绩的response的长度较大以此特征筛选出有效学号:

img

5.暴力破解攻击。获取系统中另一个六位数字编号对应的弹框flag内容。

抓取第1题的POST请求,并修改payload字段为number

从000000-999999开始执行遍历扫描

扫描完成后,按Length执行排序:

img

可以看到用户id 735142的length较大,测试请求

图形用户界面, 应用程序, Word  描述已自动生成

得到flag

flag{d1ct_1s_v3ry_1mp0rt4nt}

Comments

Leave a comment