于7月31日晚七点,火线平台在腾讯会议上举办了第九期「听火」线上内部项目分享沙龙——2名分享讲师,参与会议人员共计30人,分享议题共3个,讨论议题共4个。
参会人员
漏洞分享片段
现在很多产品会选择一个三方平台进行售卖,由于双方没有同步从而导致这个漏洞的产生。首先我在平台上购买一个产品,然后抓包后会发现返回一个激活码。接着我对其进行退款,退款成功。在burpsuit中对购买成功时的数据包进行重放,发现激活码还是存在的,便尝试用该激活码进行激活产品,发现激活成功。这时候你就知道激活码了,然后你就你的钱又回来了,然后就造成了这个这个零元购买这个产品的服务这个产品的漏洞。
ψ(`∇´)ψ(思路拓展讨论)在支付这个模块还是存在很多其他的思路:
cnsolu:有类似于优惠券的东西,就是一般来说会受单,然后比如说满十块钱减九块钱这种这种优惠券。但是比如说我使用完一个使用用完优惠券买了一个东西之后,然后我再退款,然后我的优惠券又可以再用。
半夜不睡觉:以前在一个网站上遇到一个比较有趣的支付漏洞,就是它会有一个满多少就会赠一个商品,比如说满100赠一个商品,比如说赠一个什么书包之类的商品。当你把购物车里面的那个商品的金额累计到100的时候,会发一个请求。然后把这个赠品给添加到购物车里面,然后这个时候你可以去。修改这个赠品它的那个商品ID。比如他本来给你个书包可能价值就20块钱,然后你把他的商品商品改成其他东西,改成一个价值高的或者说把它给改成100个书包这个样子。就是通过去修改他的那个请求,最后商家给发货了。
......
这个漏洞呢是之前一个项目在看他们一个业务的时候发现他们业务里有发送私信的功能,然后我就去进行测试了与一下。首先就是建了两个账号,然后用自己的账号开始发私信,抓包的时候就去分析了一下这个请求包:这个请求数据包可以看就是左下角这个请求的截图。因为它是POS的请求,然后按我的思路,我一般就首先去分析它的body里的内容,但里边的内容没有什么可利用的信息(他最后一个字段:Receive receiver这个ID他是代表的是目标用户)。比如说我像我这个请求就是像这个1690这个这个用户发送私信,然后这包里没有什么可利用的价值。然后我就看看他的122里也没有什么参数,就这时候我想放弃的时候,然后我就看见了他的分析了他的会话信息,会话信息存在token,然后发现token与正常的网站的token是不一样的,它的token是组合式的:当前账户的ID然后用一个字符拼接自己的正常token值这样一个组合。接着找到这一点之后我就去尝试改变了这个token值,实现了以别人的身份向别的用户发起私信的id为1,便实现了越权到高权限账户给任意用户发私信的情况。
ψ(`∇´)ψ(思路拓展讨论)有趣的越权漏洞:
pw0rld:以前遇到过一个有趣的漏洞,vip用户可以使用付费的oc图像识别服务,但是普通用户该页面就是空白,我通过使用插件获得到页面的接口,然后通过burpsuit进行爆破,找到了这个接口,然后补全相应的参数后,使得普通用户也可以使用该图像识别......
......
这个漏洞是一个组合漏洞,一共利用了两个接口的越权加一个权限的绕过,然后才最终实现这个任意订单退款漏洞。首先是我在这个这个网站去下单买一个业务,然后这个订单就进入了就是处理中的这样一个待接单的一个状态,然后在订单查看详情的时候,在url里会显示一个编号对应这个订单。以这种形式的可以看到自己的订单号。则你就可以对这个订单号进行遍历,看到其他人的订单。越权漏洞看别人的订单但是里面没有比较敏感的信息。然后我就遍历了几个订单,然后发现订单是有状态的,我自己的就是没有一个退款的接口。但是我发现我看别人订单的时候,它是有一个可以退款的一个接口。然后我就用别人的接口去修改成自己的订单id,将自己的订单进行退款......
话题讨论缩影
问::业务逻辑漏洞的挖掘姿势?例如:支付相关模块、验证码绕过
答1:这块儿其实分几种吧,就是一种就是验证码复用,就是我同一个验证码可以多次复用。
答2:还有一种情况是验证码是直接明文返回在响应包里面。
答3:我这边分享一个就是手机验证码的吧。就是我遇到过有一些就是它是手机验证码跟一个MD 5值绑定的。然后用自己的手机发一个验证码,之后你获得到你这个验证码跟MD5值,然后你再切换成其他的手机号。然后去重置别人的密码。
答4:你要这么说的话,我之前也碰到个比较有那个奇怪的,就是我打开一个网站就发验证码登录。然后我打开两个登录页,然后再两个登录页同时输手机号,就两个手机号同时输。就把两个手机号输好了之后同时点发送验证码。然后发现这个验证码可以共用,就他没验证好,应该是我觉得应该是时间的问题。
......
下一期想听什么?
评论区告诉我们噢~
