教育edusrc-漏洞挖掘-逻辑漏洞篇
2024-3-15 22:38:15 Author: mp.weixin.qq.com(查看原文) 阅读量:40 收藏

没错,就是他了

重生之鹰图语法:

icp.name="四川大学"

&&web.body="注册"

&&web.body="登录"

很快哈,一眼定睛个系统

注册好一个用户后,来到忘记密码功能

这里先输入正确的验证码,然后下一步进行抓包

抓取响应包

这里的302跳转到重置密码是依靠Location:

/index.php?&m=User&a=resetPwd&_t=1705471852&mobile=1881924****
参数中的_t来认证
经过多次尝试发现:

HTTP/1.1 302 Moved TemporarilyServer: *Date: Wed, 17 Jan 2024 06:10:52 GMTContent-Type: text/html; charset=utf-8Connection: closeExpires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheLocation:/index.php?&m=User&a=resetPwd&_t=1705471852&mobile=1881924****
HTTP/1.1 302 Moved TemporarilyServer: *Date: Wed, 17 Jan 2024 05:10:12 GMTContent-Type: text/html; charset=utf-8Connection: closeExpires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheLocation:/index.php?&m=User&a=resetPwd&_t=1705468212&mobile=1881924****Vary: Accept-EncodingContent-Length: 0
HTTP/1.1 302 Moved TemporarilyServer: *Date: Wed, 17 Jan 2024 05:23:51 GMTContent-Type: text/html; charset=utf-8Connection: closeExpires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheLocation:/index.php?&m=User&a=resetPwd&_t=1705469031&mobile=1881924****Vary: Accept-EncodingContent-Length: 0
HTTP/1.1 302 Moved TemporarilyServer: *Date: Wed, 17 Jan 2024 05:33:39 GMTContent-Type: text/html; charset=utf-8Connection: closeExpires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheLocation:/index.php?&m=User&a=resetPwd&_t=1705469619&mobile=1881924****Vary: Accept-EncodingContent-Length: 0

我们会发现Location:

/index.php?&m=User&a=resetPwd&_t=1705471852&mobile=1881924****
这里进行输入多次正确验证码后下一步抓响应包,发现_t=17054是固定不变的,只需要遍历后5位爆破,从而达到成功重置密码的效果

(这里的重置密码页面并不能直接重置,因为有&_t=后面为鉴权的东西,所以需要遍历出来)
由于有WAF,需要Burp挂上代理池来遍历_t的参数进行爆破,这里使用的是快代理

这个包是如下图重置密码点击确定,然后对Referer头的_t=17054后5位进行Add

直到跑出正确的为止(跑出Length的长度不一样)

也是成功拿下证书

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放

往期回顾

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247493843&idx=1&sn=80af60f272bcc5f544c88825b59cea95&chksm=e8a5e2b0dfd26ba6feda2cf71d8ee6b2705a79f8191c060b1a247944f1b7d45d9b15210d8008&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh