SRC挖掘思路(二)

2022-04-14 8,591

文章来自" bgbing星球",未经授权禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)

本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码


因为SRC不让公开,所以这里尽可能讲思路,希望能帮到大家!

开始

首先访问登陆,大概url如下

https://www.xxxx.com/sso.php?redirect=https://2.xxxx.com/xxxx.php

可以很清楚的看到是一个sso统一登陆的界面,在当前页面有两种登陆方式

1、用app扫码登陆

2、账号密码登陆

登陆完后会向https://2.xxxx.com/xxxx.php发送token,实现登陆


伪造后面的url

任何重定向都有可能存在漏洞

https://www.xxxx.com/sso.php?redirect=https://自己的站/xxxx.php

并且我们在自己的站里实时接收任何post或者get数据(cookie)等等

那么我们只需要把上面的url发给受害者,受害者发现这是一个正常的url啊,然后它就可以扫了登陆

其实后面的redirect的url是自己的,所以它只要登陆了,你就能获取到对应token,实现登陆它的账号。


实际漏洞挖掘

发现在后面修改url,没有用,只允许https://2.xxxx.com这种的。

那么我们尝试其他思路,我们试着访问后面的url

https://2.xxxx.com/xxxx.php

就是这个,访问后会显示缺少code参数,那怎么办?

聪明的你肯定想到了,会post或者get(也有可能cookie里,或者请求头的其他地方,具体得自己测试)传个code参数不就行了。


挖到敏感信息泄露漏洞!

https://2.xxxx.com/xxxx.php

post数据是code=1(这里1其实不重要,输入其他也一样)


返回包会显示appid=xxxx,secert=xxxx。

很明显有了这两个,再去找对应api文档,就能获取权限了


猜测:

为什么code=1会显示敏感信息出来?

可能是方便内部测试吧


最后漏洞也已经提交,拿下高危,图就不截了(漏洞目前已修复)

Good luck and happy hacking.

本文作者:辞令_WhITECat

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/176994.html

Tags:
评论  (0)
快来写下你的想法吧!

辞令_WhITECat

文章数:16 积分: 50

WhITECat安全团队是起源实验室合作安全团队,欢迎各位大佬关注“WhITECat安全小组”公众号了解更多!

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号