文章来自" bgbing星球",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)
本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!
因为SRC不让公开,所以这里尽可能讲思路,希望能帮到大家!
开始
首先访问登陆,大概url如下
https://www.xxxx.com/sso.php?redirect=https://2.xxxx.com/xxxx.php
可以很清楚的看到是一个sso统一登陆的界面,在当前页面有两种登陆方式
1、用app扫码登陆
2、账号密码登陆
登陆完后会向https://2.xxxx.com/xxxx.php发送token,实现登陆
伪造后面的url
任何重定向都有可能存在漏洞
https://www.xxxx.com/sso.php?redirect=https://自己的站/xxxx.php
并且我们在自己的站里实时接收任何post或者get数据(cookie)等等
那么我们只需要把上面的url发给受害者,受害者发现这是一个正常的url啊,然后它就可以扫了登陆
其实后面的redirect的url是自己的,所以它只要登陆了,你就能获取到对应token,实现登陆它的账号。
实际漏洞挖掘
发现在后面修改url,没有用,只允许https://2.xxxx.com这种的。
那么我们尝试其他思路,我们试着访问后面的url
https://2.xxxx.com/xxxx.php
就是这个,访问后会显示缺少code参数,那怎么办?
聪明的你肯定想到了,会post或者get(也有可能cookie里,或者请求头的其他地方,具体得自己测试)传个code参数不就行了。
挖到敏感信息泄露漏洞!
https://2.xxxx.com/xxxx.php
post数据是code=1(这里1其实不重要,输入其他也一样)
返回包会显示appid=xxxx,secert=xxxx。
很明显有了这两个,再去找对应api文档,就能获取权限了
猜测:
为什么code=1会显示敏感信息出来?
可能是方便内部测试吧
最后漏洞也已经提交,拿下高危,图就不截了(漏洞目前已修复)
Good luck and happy hacking.
本文作者:辞令_WhITECat
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/176994.html
必填 您当前尚未登录。 登录? 注册
必填(保密)