逻辑漏洞
1.突破功能限制漏洞。要求突破查询按钮disable限制,获取编号:110010的查询内容
(弹框中的flag)。
查询元素样式发现,元素上设置了伪类disabled,去除伪类表单即被激活可提交
查询结果成功
flag{byp4ss1s_ez}
2.用户信息泄漏漏洞。通过回显信息,以暴力破解方式猜测系统中存在的两个用户名
(提示:用户名以 “u” 开头),并暴力破解这两个用户对应的密码。
根据提示,猜测u开头即为user或user后加数字,测试user user0-5
利用burp Suite Intruder模块的Cluster bomb功能结合弱密码表进行爆破查询
可以看到user,user1触发了302重定向意味着密码正确,暴力破解成功
现实环境中,可利用拖库得到的密码表配合sniper对其他目标网站进行撞库,提高入侵概率
3.越权漏洞。通过上一步破解的用户名密码登录,利用越权漏洞获取admin与admin1的个人信息。
观察cookies可发现cookies在url解码后,有明显base64特点,解码发现,值实际为user与用户名一致,利用这一漏洞可构造admin,admin1的cookies
将页面http://localhost:8993/web/info.php发送到Burp Repeater
准备利用Cookie漏洞构造admin1的登录Cookie:
Burp Suite构造admin1的Cookie
向用户详情页http://localhost:8993/web/info.php提交替换的Cookie
成功触发越权漏洞。现实中cookies大多基于用户某一特征生成,如果掌握了cookies构造方式并暴力破解计算出密钥即可提权,解决方案可以是cookies采用非对称加密增大破解成本
4.遍历漏洞。已知当前系统中存在的一个学号为:20190504035XA01。利用遍历漏洞获取其他学号对应的成绩(不少于5条)。
利用burp Suite Intruder模块的Cluster bomb功能,猜测前面的年份,班级号和后面的个人ID可变。修改学号的年份,和班级号和后面的个人ID的最后一位,计算笛卡尔积尝试遍历暴力破解
遍历组合观察结果发现除测试的0外共8条记录response的length不一致,与其他相比较长,这表示学号内有成绩,学号有效。其中有成绩的response的长度较大以此特征筛选出有效学号:
5.暴力破解攻击。获取系统中另一个六位数字编号对应的弹框flag内容。
抓取第1题的POST请求,并修改payload字段为number
从000000-999999开始执行遍历扫描
扫描完成后,按Length执行排序:
可以看到用户id 735142的length较大,测试请求
得到flag
flag{d1ct_1s_v3ry_1mp0rt4nt}
Comments
Leave a comment