几个月前写的。。。居然一直待在草稿箱
已经忘了之前想用一些cms来复现常见的业务逻辑漏洞这回事了
最近有时间就继续慢慢弄吧~~
一、验证码漏洞
验证码机制主要用于用户身份识别,常见可分为图片验证码、数字验证码、滑动验证码、短信验证码、邮箱验证码等
根据形成原因可分为:
1.验证码暴力破解
1.1 漏洞成因
服务端未对验证时间、次数作出限制,存在爆破的可能性。验证码常用在批量注册,任意用户登录场景。
1.2 测试
1.2.1 测试流程
输入信息–>抓包爆破验证码–>查看爆破是否成功
1.2.2 PHPYunCMS漏洞演示
PHPYun后台验证码可爆破
(1)测试环境
系统:Win10
环境:PHPStudy集成环境
CMS版本:PHPYunv3.1
(2)测试过程
输入正确用户信息
爆破成功
1.3 漏洞修复建议
(1)提高验证码的长度、复杂度
(2)可限制错误登录次数、有效时间
2.验证码重复使用
2.1原因
在验证码首次认证成功后没有删除session中的验证码,使得该验证码可被多次成功验证,造成危害
2.2测试:
2.2.1 测试流程
填写正确登录信息和验证码–>抓取提交数据包–>重复提交该数据包–>查看是否登录成功–>登录成功则存在验证码重复使用问题
2.2.2 帝国CMS漏洞演示
帝国CMS后台验证码显示重复
(1)测试环境
系统:Windows10
PHPStudy集成环境:PHPv5.3.29+MYSQLv5.5.53
CMS版本:EmpireCMS_6.0
(2)安装CMS
访问http://yoursite/e/install/index.php
安装好后先登录后台页面修改后台验证码显示设置,步骤如图
同时将后台登录限制增大(eg:100),然后拉到最下方保存设置,退出登录
(3)测试过程
第一步,输入正确信息点击登录时抓包
第二步,通过修改imageField参数的大小来实现暴力提交,自设一个两位数数字字典作为payload
第三步,查看任意响应包是否登录成功
从结果来看,暴力重复提交的数据包均登录成功,说明存在验证码重复使用的问题。
经过暴力重复提交后,客户端显示登陆成功
PHP5.2.17下测试结果同5.3.29
2.2.3 CMS漏洞分析
(1)原因
自 PHP 4.2.0 起,不再需要用mt_srand() 给随机数发生器播种 ,因为现在是由系统自动完成的,导致帝国cms的验证码会显示一样的字符。
(2)解决方法
在每个文件中找到该行将其删除或注释即可。
Seay源码审计系统中全局搜索mt_srand函数,含有mt_srand的文件为:
2.3 漏洞修复建议
在一次认证成功后服务器端清空认证成功的ssesion
3.验证码回显
3.1 验证码直接由客户端生成,在回显中显示,可通过浏览器工具直接查看
3.2 分类
3.2.1 在源码中显示
F12审计大法,搜索源码中有无验证码
3.2.2 在COOKIE中显示
抓包时分析COOKIE中是否含有验证码
3.3 测试
3.3.1 测试流程
(1)在源码中显示
(2)在COOKIE中显示
3.3.2 在源码中显示
3.2.3 在COOKIE中显示
以某网站找回密码模块为例
第一步,填写好相关信息并确认提交
步骤二:确认提交时抓取数据包
可以看到str_code回显在请求包中
步骤三:forward发送请求包,跳转到输入验证码和新密码页面
步骤四:填写从请求包得到的验证码,成功修改用户密码
防范:验证码由服务端生成且保存在服务端,不能通过任何API获取
4.验证码绕过
4.1 漏洞成因
由于逻辑设计缺陷,可绕过验证,比如直接删除COOKIE或验证码参数可绕过、当验证不通过清空session时,验证码参数值为空时绕过等。
4.2 分类
4.2.1删除COOKIE绕过
4.3 测试
4.3.1 测试流程
4.3.2 测试环境
4.3.3 CmsEasy演示
CmsEasyv5.5删除COOKIE绕过验证
第一步,输入正确账户信息和错误验证码,登录时抓包
第二步,删除COOKIE
客户端登陆成功
74cms 设计缺陷导致全版本验证码绕过
https://www.secpulse.com/archives/26839.html
修复:在检测用户验证码时,先判断是否存在,是否为空,再判断是否正确
5.验证码自动识别
这类漏洞主要是指图片验证码,可以通过PKAV工具以及bp插件来识别,也可以用python
二、密码找回
1.敏感信息泄露
2.邮箱弱token
3.验证的有效性
4.注册覆盖
三、接口盗用
1.重放
四、账户越权
1、未授权访问
2、越权
五、支付漏洞
六、SSRF