挖洞联盟第一季漏洞精选

人=族

0×01 密码找回绕过
中华保险商城任意用户登陆绕过 vulbox-2016-016879
重置密码这个业务场景通常分为多步，良心厂商通常会在最后一步再验证一次短信验证码，如此可能会想到爆破短信验证码。如果再做了爆破限制，是否就完全稳妥了？
中华险商城在密码重置上就出现了类似问题：在密码重置流程中，通过修改响应包，绕过短信验证页面

进入最后一步，输入新密码：

输入新密码后点下一步，抓取请求包

可以看到请求包中仍然会传输短信验证码，所以服务端验证最终是失败的。骗不到服务器，但不要放弃骗浏览器，我们仍然修改状态码为true，果然浏览器被骗了

通常在密码重置成功后会自动登录，所以可以尝试刷新下页面

最终，我们骗了浏览器，浏览器又骗了服务器。
0×02 条件绕过
绕过招行掌上生活app限制，换取大量商品 vulbox-2016-017284
薅羊毛是现在十分普遍的问题，如首次注册赠送代金券甚至免单，或者优惠活动只能秒杀，并且每个用户只有一次机会。大多羊毛党的惯用伎俩是使用大量手机号来获取优惠，然而还有更简单的办法，利用厂商的一些漏洞实现。

在某银行app中，可用超低积分秒杀商品，并且每个人只有一次机会。

此时我们点击立即抢购

然后抓包，再开大线程，并发重放

可获取一批有效优惠券但是此处白帽子并没有使用任何工具辅助，也没抓包重放，仅仅是利用麒麟臂点“立即抢购”然后“返回”，重复这个操作，即获取这么多优惠券，可见此类薅羊毛成本极低，仅需一只麒麟臂。
0×03 登录绕过
阳光保险APP登陆绕过，泄漏用户信息 vulbox-2016-017702
登录处可能会存在很多问题，如果出现注入则会导致万能登陆在某保险APP中，登录处填写任意手机号

正常提交后返回

再次提交，抓包拼接SQL语句

重置密码的最后一步请求包中，发现Cookie中带上了这个sessionid，并且body中没有用户名字段，猜想sessionid是用户标识的密文，或是在服务端与用户绑定的标识字段。

根据这个猜想，先任意输入其他用户手机号，进入密码重置，并获取该手机号对应的sessionid。然后使用自己的手机号重置密码，在最后一步替换Cookie中的sessionid，最终成功重置其他用户的密码。
0×06 越权
国联证券某处越权，导致大量用户密码泄 vulbox-2016-016610
首先通过各种小技巧，找到用户信息未授权访问页面
发现有一列HTTPPassword，通过脚本取出用户名密码哈希字段，之后使用John进行破解，可成功获取大量用户密码。贴2条密文，可识得此加密算法：(Gn0hLj/3RI66QBciXeOT)(G60/bu2yEvEGqfe/gA/c)

w2015

不错，精贴

热心网友6

这些案例挺经典的，尤其是第一个密码找回绕过，思路很有意思——虽然服务端验证了验证码，但通过修改响应包欺骗了前端，最终利用前端与服务器的交互逻辑完成了绕过。看来前端校验和后端校验的一致性真的很重要，不能完全信任客户端传来的数据。 第二个并发重放问题也很有代表性，即使没用到自动化工具，单纯靠快速手动点击也能薅到羊毛，说明服务端缺乏有效的防重放机制或者频率限制。对于这种抢购场景，加个令牌或者用户级别的锁应该能缓解。 后面登录绕过和越权部分也很有启发，特别是通过替换sessionid来重置其他用户密码的思路，反映出服务端对会话标识与用户的绑定校验不严格。总体来说，这些漏洞都提醒我们在开发时要注意前后端双重校验、防止并发操作、做好权限控制。感谢分享！