记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

携程客栈通管理系统绕过登录验证直进后台

2015-07-01 20:50

在对客栈通管理系统进行扫描分析的时候,无意中看到某个url返回了后台管理的页面,而不是重定向到登录页面,看着就有戏,直接将url放到浏览器中去,跳回到登录页面了/(ㄒoㄒ)/~~



后来仔细分析对比了两次发送的请求,发现成功的多了个cookie字段: .ASPXAUTH



使用burpsuite,拦截请求包,在原有的cookie中加上:

code 区域
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





成功了,一阵惊喜,然而又失望了,随便点一个链接之后,就又调回到登录页面,不过这又怎么能难倒我呢,只要每个请求都加上这个cookie值就好了嘛,但是不能每次都拦截请求,在手动添加啊,幸好burpsuite够人性,这些都为我们考虑好了,只要在options选项卡中添加一个正则规则就解决了,如图:

1.jpg





验证截图:

http://www.kztpms.com/PMS/accountmanage/accountlist

2.jpg



http://www.kztpms.com/PMS/order

3.jpg



http://www.kztpms.com/PMS/home

4.jpg





页面还是挺漂亮的



验证是结束了,但是关键问题cookie中的 .ASPXAUTH 字段值怎么会在扫描的时候返回回来呢,回过头去,分析扫描发送的和浏览器正常发送的请求包,发现http请求头不一样:

扫描的http头:

code 区域
Pragma: no-cache

Cache-Control: no-cache



正常请求的http头:

code 区域
Cache-Control: max-age=0





我只能想到这了,后来尝试也确实,加上了no-cache就返回了,得来全不费工夫啊,具体后台怎么处理的,那就不用问我了啊,我也不懂





漏洞证明:

这里测试验证的时候返回的test用户的认证会话缓存信息,其他用户的是否会返回正在尝试。。。

修复方案:

开发懂的

不好意思,又让开发要加班了

知识来源: www.wooyun.org/bugs/wooyun-2015-0123929

阅读:452647 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“携程客栈通管理系统绕过登录验证直进后台”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云