一次奇妙的任意用户登录实战

刚刚进行了微信sessionkey的学习,正准备实战一下,就发现了这个神奇的网站,预知后事如何。请继续向下看去

  1. 目标
  1. 开局一个登录框
  1. 首先,直接弱口令走起来,万一留有测试的账号呢

尝试,1311111111,13333333333.13888888888,未果

测试多了还有验证码防止爆破,也就不再继续尝试爆破了

弱口令g

  1. 点击微信快捷登录,发现sessionkey(步入正题)

点击允许,数据包发现sessionkey参数

找到我们github上找到的sessionkey利用插件,把session_key(加密解密的key)encrypt_data(向数据库提交的值)iv(偏移量)的值都复制到工具上进行利用

帮助网安学习,全套资料S信领取:

① 网安学习成长路径思维导图

② 60+网安经典常用工具包

③ 100+SRC漏洞分析报告

④ 150+网安攻防实战技术电子书

⑤ 最权威CISSP 认证考试指南+题库

⑥ 超1800页CTF实战技巧手册

⑦ 最新网安大厂面试题合集(含答案)

⑧ APP客户端安全检测指南(安卓+IOS)

但是怎么找到这个系统用户的手机号呢(万能的贴吧,抖音等地方获得了老师的手机号)

成功登录,任意用户登录加

  1. 发现这个接收了sessionkey的加密数据后,还会发送一个绑定手机号的数据包(又一个任意用户登录)

修改请求包的user参数,发现没有鉴权,直接输入用户手机号即可绑定登录

感觉离谱,任意用户登录又加

6.输入名字即可查看学生学籍信息(编码解码后名字为张杰)

敏感信息泄露加

  1. 维修处可以上传图片,尝试利用

准备试试绕过,结果白名单加黑名单过滤,文件上传gg

但是删除文件发现是直接DELETE请求,还是直接删路径,只能说开发太牛了,真的离谱

测试不同用户文件可以直接删除,没有进一步尝试(害怕系统崩溃),任意文件删除加

  1. 发现这个还有一个预约平台,鉴于上个系统的离谱,继续尝试利用(非原图,原图特征太明显了)

进入后发现只有验证码登录

尝试爆破四位数验证码

成功登录,任意用户登录又加1

总结:

第一次碰见这么多的任意用户登录,建议加强鉴权,隐藏sessionkey值,登录设置次数要求,防止爆破。另外,进行漏洞挖掘,建议证明即可,未经客户允许禁止扩大危害,盲目扩大危害可能有法律风险。

相关推荐
子兮曰22 分钟前
Agency-Agents 深度解析:400+ AI 专家的"梦之队"如何重塑开发工作流
前端·后端·vibecoding
竹林8181 小时前
用 The Graph 查询链上数据实战:从手搓 RPC 到 Subgraph,我的 NFT 项目数据加载快了 10 倍
前端·javascript
妙码生花1 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十九):点选验证码代码逐行目检
前端·后端·go
Awu12272 小时前
⚡从零开发 Agent CLI(五)实现一个可治理、可扩展的工具系统
前端·人工智能·claude
咪库咪库咪2 小时前
Vue3-生命周期
前端
莪_幻尘3 小时前
你的 AI Skill 越多越蠢?Token 上下文爆炸的求生指南
前端·ai编程
lichenyang4533 小时前
从 has.echo 到异步 API 注册表:一次 ASCF API 回调不触发的排查复盘
前端
林瞅瞅3 小时前
Nuxt3 项目部署 Nginx 防盗链后特定 JS 文件 403 问题修复方案
前端
kyriewen4 小时前
别再每次都 Google 了:我整理了前端日常最常踩的 10 个 Git 坑,附速查表
前端·javascript·git
一颗奇趣蛋4 小时前
Web 视频开发完全指南:从入门到精通
前端