2021-02-22
分类:常见漏洞
阅读(523)
网站存在登录口令泄露,并且绕过限制成功登录。得到了修改B类管理员的权限、
帮助手册包含了很多信息,能够让使用者更加熟悉业务。但也可能泄露了一些敏感信息。在访问某网站的时候,注意到了有个“功能演示”。查看帮助手册时,发现泄露了账号密码。但是即使账号密码正确,也无法正常登录。不过最后通过了一些手段,还是成功登录了后台。
https://xxx.com/list?keyword=xx快递
https://xxx.com/login.html
-
公司代码 y*** 账号 admin密码 Cc123456
但是这个账号直接登录却提示账号过期。
查看数据包,发现有个from参数是空的。
添加登录的URL到from参数。
然后就会有含有login_key的响应包,并且code的值为1。
所以,放包之后还是跳转到了登录页面。
很明显,返回了login_key,并且code值为1。
目前账户肯定是登录状态,但是由于我不是以正常的方式登录,所以无法直接跳转到后台管理页面。
回到帮助手册,通过演示视频,我找到了属于后台的URL。
访问该URL,就能直接跳转到后台了。
联合利华:
建行:
重庆市铁路:
中国集团核工业:
长江三峡集团:
可以修改密码等等。
待审核 2020-11-16 11:39:45 Lv.1 初入江湖 的少侠 ** 提交了漏洞
已确认 2020-11-17 16:15:05 审核分舵的兄弟已经确认了您报告的漏洞
修复中 2020-11-17 16:48:27 现已安排教中应急响应分舵的兄弟快马加鞭修复该漏洞中
已修复 2020-11-17 18:05:10 神奇教已经修复了该漏洞,防御能力大增,感谢少侠通报
漏洞等级: 严重(81), 影响程度: 一般(13), 利用难度: 一般(7), 其他规则: 无(1), 报告质量: 一般(1), 实际漏洞等级: 严重, 最终评分: (1 × (81 × 13 × 7) ÷ 100 + 1) = 75
这边了解到的后台逻辑是随机取管理员session, 所以其实不能算是真正意义上的修改任意账号密码, 但危害同样很大, 所以还是给到严重, 只是利用难度降低一些
同时因为不能直接查看简历内容(该站点session不影响简历详情页), 所以影响程度会降低一些
转自:黑白之道
觉得文章有用就打赏一下文章作者
支付宝扫一扫打赏
微信扫一扫打赏