首页 > 其他分享 >SRC实战:分享一个不到500块的高危,史低价(在steam都可以上头条了)。

SRC实战:分享一个不到500块的高危,史低价(在steam都可以上头条了)。

时间:2024-07-03 12:03:02浏览次数:19  
标签:SRC 登录 用户 id 获取 token 管理员 steam 500

最近工作忙得飞起,挖洞的时间变少了,一般有什么活动之类的才会花个半天时间去尝试一下。今天这个漏洞有点意思,不到500块的高危,但是我个人认为是严重低估了的,但没办法,白帽子在审核面前没人权啊。

以下主要是过程与思路分析,没截图,因为几百块的高危不配有图。

0x00

入口

这次的入口是小程序,某厂商的一个考试类的小程序,先尝试了一下登录,发现它正常是不对外提供的,使用微信登录后会提示无权限,也没有注册入口。那咋办?直接下一个?我一般看心情,如果心情不好,就下一下,如果当时心情不错的话,我给给予它一点耐心,反编译之后,进行一波代码审计。

代码审计当然是从登录功能开始,这一看就发现了大雷,也不知道是哪个大聪明写的登录功能,正常来说,我们实现登录时,一般是使用账号密码登录,如果成功,则返回用户信息和token,如果错误,则失败。

但是这个小程序有意思了,它登录成功后,只返回用户信息,然后再使用用户信息,通过另外一个接口去获取token。黑人问号?这不白送吗?

敏感数据泄露

直接拿到获取token的接口,先试一下不传任何参数请求一下这个接口,发现它也可以返回一个token,通过这个token,我们进到小程序后,发现有一个获取自己的考试列表的功能,但是请求会报错,这是正常的,因为我们的这个token是没有用户信息的

但是都有列表了,那获取指定数据的详情的接口应该也有吧,而且能写出这种登录功能的开发,我认为存在数据越权的概率大于90%。 (关于数据越权不清楚, 可以看一下这篇《挖逻辑漏洞不懂数据权限怎么赚大钱?》)

继续分析源码,找到获取考试详情的接口,发现只有一个id参数,随便传个数字试一下,这不巧了嘛,返回了别人的考试结果,其中包含了用户的真实姓名、手机号、得分等等。由于id是自增id,通过能够获取到数据的id的最大值来判断,泄露考试详情数据量近7位数,即使去除重复用户的考试记录,泄露的用户隐私数据最少也应该是6位数了。

管理员权限

到这其实就可以交了,但是我都能获取任意用户的token了,不得再深度利用一下?上面有说到, token是通过用户信息获取的,那如果我们知道管理的id,是不是就可以拿到管理员的token了

那这个信息哪里拿?一般公告、题目之类的肯定是由有管理员权限的用户编辑的(不明白为什么可以看一下这篇,有简单提到过《SRC实战:改个返回包就严重了?》),那就看看会不会返回创建者ID之为类的咯。幸运的是,在获取题目信息的接口中,返回了create_id,甚至还返回了create_name(管理员),真的是贴心呢。

拿到管理员的id后,通过管理员的id创建了一个token登录,发现小程序内也没有多出什么功能?那看来这只是一个纯用户端,那后台在哪里?

一般情况下,我会先尝试将小程序的域名直接放到浏览器中访问一下,没想到,在浏览器中访问后直接就跳到管理后台页面了。这还有什么可说的,JS代码审计呗,先找到token的传输方式,再随便找一个接口,用之前小程序获取到的token试一下,直接返回数据,原地起飞,管理员权限拿下。

其实这一步后面也没这么简单,它的管理后台菜单项是后台返回的,还要去猜解参数、构造返回值等,搞了我挺久的。不过都有token了,这些都不是重点了。

0x01

虽然但是,看起来好像危害挺大的样子,最终厂商给的是高危,不过是一个不到500块的高危,理由是边缘产品(虽然它的公告也没有明确的对产品进行分类),我只能说,没见过哪个边缘产品有超过6位数用户的。就这样吧,毕竟话语权在人家那里。


加个星标关注不迷路 ★ 更多原创文章第一时间推送!
点赞,在看,分享,我都可以的

本文转自 https://mp.weixin.qq.com/s/jzXojEJwsuUHYXtADOgh_A,如有侵权,请联系删除。

标签:SRC,登录,用户,id,获取,token,管理员,steam,500
From: https://blog.csdn.net/qq_34851291/article/details/140148011

相关文章

  • 详细记录海思相机适配新的sensor(IMX585)(一)——Hi3519DV500
     一、前言这几天手里有个任务,组里买了个相机模组,soc是HI3519DV500,配的是IMX585的sensor,但是HI3519DV500的SDK中支持的sensorlist没有IMX585,需要进行适配工作。查遍了全网能找到的博客,也咨询了一些博主,进行记录。(海思的坑是真的多,组里也没人搞,所以一个人四处踩坑;衷心感谢每一......
  • steam游戏商城怎么共享游戏给好友?最详细的操作方法介绍
    在Steam平台上共享游戏给好友,实际上是通过Steam的家庭图书馆共享功能实现的。这允许你在一个家庭内与最多五位家庭成员共享你的游戏库,但他们必须使用同一台电脑。请注意,你不能直接将游戏共享给不在同一物理位置的好友。以下是启用家庭图书馆共享的步骤:1.登录Steam:首先,确保你......
  • P18插入员工数据的时候,报500错误
    最后一行,是否使用驼峰命名。下面是没有使用驼峰命名的语句。/***插入员工数据*@paramemployee*/@Insert("insertintoemployee(name,username,password,phone,sex,id_number,status,create_time,update_time,create_user,update......
  • COMM5000 Sandbox PwC Distribution
    ASSESSMENTGUIDECOMM5000Data LiteracySandbox PwC Distribution ProjectMilestone2 InformationTerm 1, 2024AssessmentAdministrativeDetailsTurnitinTurnitin is an originality checking and plagiarism prevention tool that enables checking......
  • (免费领源码)java#Springboot#mysql物品代拿系统32500-计算机毕业设计项目选题推荐
    摘 要科技进步的飞速发展引起人们日常生活的巨大变化,电子信息技术的飞速发展使得电子信息技术的各个领域的应用水平得到普及和应用。信息时代的到来已成为不可阻挡的时尚潮流,人类发展的历史正进入一个新时代。在现实运用中,应用软件的工作规则和开发步骤,采用Java技术开发,Sp......
  • 苹果笔记本能玩网页游戏吗 苹果电脑玩steam游戏怎么样 苹果手机可以玩游戏吗 mac电脑
    苹果笔记本有着优雅的机身、强大的性能,每次更新迭代都备受用户青睐。但是,当需要使用苹果笔记本进行游戏时,很多人会有疑问:苹果笔记本能玩网页游戏吗?苹果笔记本适合打游戏吗?本文将讨论这两个话题,帮助你更好地了解苹果笔记本在游戏方面的表现。一、苹果笔记本能玩网页游戏吗苹......
  • Structured Steaming结构化流详解:大案例解析(第12天)
    系列文章目录一、结构化流介绍(了解)二、结构化流的编程模型(掌握)三、Spark和Kafka整合,流处理,批处理演示(掌握)四、物联网数据分析案例(熟悉)文章目录系列文章目录前言StructuredSteaming一、结构化流介绍(了解)1、有界和无界数据2、基本介绍3、使用三大步骤(掌握)4、回......
  • SciTech-点焊机-微波炉变压器制作一台1000W电流500A的加强版点焊机;
    用微波炉变压器制作一台加强版点焊机:输出电流500A,功率1000瓦微波炉有大功率全铜变压器。初级线圈由大功率可控硅控制导通时间;次级拆除,用超大粗铜导线绕3圈或数圈,得到低压大功率次级输出,作为点焊能源。常用的微波炉电路图:控制板部分由“低压变压器”输送功率;2.整机大部......
  • Oceanbase数据库500租户告警--模块LobReader使用异常分析
    文档编写这块确是不太好,感觉这篇文章要是写成公众号阅读量得哇哇的,也懒得弄,仅仅记录下信息,并分享下问题的处理思路上午十一点半左右收到告警信息,500租户使用率异常,告警信息如下"【云境平台告警通知】:资源类型:OceanBase集群;资源名称:xxxx;发生时间:2024-06-2111:36:14;告警内容......
  • P8500 [NOI2022] 冒泡排序 题解
    考虑特殊性质B。限制相当于钦定一些位置的值,其他位置无限制。可以发现性质:无限制的位置上填的值是单调不减的。证明:设得到的最优序列为\(A\),对于无限制的位置\(i,j\),若\(A_i>A_j\),交换\(i,j\)后逆序对个数必然减小。根据改性质,只需考虑每个位置对已经确定位置的位置的贡......