首先我们打开要测试的网站
我们可以看到他是一个手机端网站
我们可以先去浏览一遍页面都有什么功能,我们再来回头思考会出现什么漏洞吧
1.打开个人中心页面进行注册账号
我们先注册一个账户
他提示我们用户名和邮箱都存在了,那我们换一个来注册
好的我们注册成功,退出账户重新登录,我们查看他发的包来进行分析看是否存在逻辑漏洞
我们发现只有下面的username什么的一个请求,在上面的请求头中并没有发现其他内容
我们把这个改为123456试一下,看看能不能越权登录他人的账户吧
啊啊啊,有限制,所以我们不能用这种方式更改
我们再来试一下抓取返回包来看看有没有什么可用的点吧
发现有两个可疑点,我们逐个修改尝试一下能不能越权登录吧
发包试一下
呀!!!进来了,我们去个人中心看一下是否只是修改了页面的名字而已吧
发现并不是我之前注册的那个账户的信息,证明越权登录成功
那么我们再想一下如果改第二个字段会怎么样呢?都改的话会怎么样呢?
那么我们就带着疑问来进行操作一下吧
发现不可行,我们再来试一下两个全改掉吧
放包进行查看
发现也是可以的
那么我们到此得出一个结论就是第一个set-cookie是必要条件,作为登录账户的判断条件进行验证的
我们再换一个点进行抓包测试吧,他是一个商城类网站,那么就可能会出现支付逻辑漏洞,我们再来探测一下是否具有此类漏洞吧
我们随意找一个,然后加入购物车,抓包分析一下
发现了一个可疑点,但是我不太确定他有没有漏洞,我们先不改动他,放包查看结果看一下
我们对比两个金额的地方,发现这不就是最终价格嘛!!!
心里好开心呀,哈哈哈
我们再重新来一次,这次改包试一下看看能否改变金额吧
我直接给他改成0.6元,我们放包查看结果
凉凉,直接完败,我们现在不得不换种思路继续测试
那么既然加入购物车的时候不行,我们在试试在购买的时候可不可以呢?
他又出来了,我就不信了,再次改他试一下
咦惹,还是不行,这真是搞我心态啊,继续向下行进到付款的地方再试一下吧
我们先试一下支付宝接口可不可行
我们抓包进行分析
我们可以看到有两个264.6和一个384.6
由上述内容可以得知总额是384.6,264.6是没加其他东西的比如运费这类东西的价格,你无论怎么改他,最后总价是写死的384.6,你改成0元,最后的总额他也会是384.6元,所以据我分析我们直接修改最后的总额即可,我们来试一下吧
直接修改成0.6,发包试一下
我们使用支付宝测试一下是否真的修改成功了
咦惹,又出错了,我们看到上面的图中我明明修改的是0.6元,但是他却是 .6元 0没了???
那我们再试一下1.6元可不可以
我们可以看到这次没有问题了,付款试一下吧
咿呀,这次可能成功了,我们用手机支付宝扫一下试试
嘿嘿嘿,成功拿下
我们再来试一下另一种在线付款可不可以
前面的各个步骤都是相同的,我就不再次演示一遍了
再次抓包进行分析改包
发现这个在线支付包里面的金额信息和支付宝付款的金额信息一样的,我们直接改就可以了
直接继续向下开干
嘿嘿嘿,再一次拿下
总结:本次对这个商城站点的定点测试一共拿下了两个漏洞
第一个洞是探测的越权登录,发现可以水平越权任意注册之后的账户
第二个洞是探测的支付漏洞,发现可以利用更改数据包的方式进行更改支付的金额
好了本次实战到此结束,完美收工,本次定点探测仅供参考学习,并未对站点进行恶意攻击,我们下次见!!!
