挖掘某小型CMS厂商逻辑漏洞的过程

前景：在网易云学习的时候看到了某大型PHP网站的讲师，就浏览了一下网站，发现这是他们自己研究开发的一套CMS，就测试了一下是否某些用户交互的地方存在漏洞。

漏洞详情：

首先来到注册页面

先填写好信息，发送验证码到目标手机，验证码是4位数的，，所以直接输入1234抓包，forword包就可以注册成功了。

http://www.weixianmanbu.com/zb_users/upload/2017/12/201712251514194285346495.png

这里我测试：13888888888  发送到repeater，直接go就注册成功

http://www.weixianmanbu.com/zb_users/upload/2017/12/201712251514194327329349.png

http://www.weixianmanbu.com/zb_users/upload/2017/12/201712251514194350436078.png

最后登录就ok了。

———————————–分割线—————————–

第二处漏洞(CSRF)：

在会员用户修改基本资料的地方

http://www.weixianmanbu.com/zb_users/upload/2017/12/201712251514194380589041.png

点击保存 抓包

http://www.weixianmanbu.com/zb_users/upload/2017/12/201712251514194399261403.png

利用burpsuite自带功能生成poc

 

这里我新开一个浏览器登陆另一个账号，也就是13888888888这个用户

把poc发给该用户，用户触发

http://www.weixianmanbu.com/zb_users/upload/2017/12/201712251514194426331208.png

http://www.weixianmanbu.com/zb_users/upload/2017/12/201712251514194459836382.png

页面提示修改成功，我们返回到基本资料处看看。

Ok，修改成功

http://www.weixianmanbu.com/zb_users/upload/2017/12/201712251514194482467498.png

PS:该csrf触发后，用户资料被修改，并自动退出需要重新登录，这时候我们可以配合xss平台的键盘记录来记录用户登录的用户名和密码。

———————————–分割线—————————–

第三处漏洞(任意用户手机号密码重置):

在找回密码处用burp抓包

http://www.weixianmanbu.com/zb_users/upload/2017/12/201712251514194542776352.png

发送到intruder一栏，设置变量为1234，然后开始枚举

枚举验证码，最多10000次成功，也就是一杯茶的功夫

可以看到，发现length的长度和别的不一样且只有一个，那么我们看一下他的返回值，是“密码修改成功”

http://www.weixianmanbu.com/zb_users/upload/2017/12/201712251514194568133700.png

登陆试试：

成功！