几个月前写的。。。居然一直待在草稿箱 已经忘了之前想用一些cms来复现常见的业务逻辑漏洞这回事了 最近有时间就继续慢慢弄吧~~
验证码机制主要用于用户身份识别,常见可分为图片验证码、数字验证码、滑动验证码、短信验证码、邮箱验证码等
根据形成原因可分为:
1.1 漏洞成因 服务端未对验证时间、次数作出限制,存在爆破的可能性。验证码常用在批量注册,任意用户登录场景。
1.2 测试 1.2.1 测试流程 输入信息–>抓包爆破验证码–>查看爆破是否成功 1.2.2 PHPYunCMS漏洞演示 PHPYun后台验证码可爆破 (1)测试环境 系统:Win10 环境:PHPStudy集成环境 CMS版本:PHPYunv3.1 (2)测试过程 输入正确用户信息 爆破成功 1.3 漏洞修复建议 (1)提高验证码的长度、复杂度 (2)可限制错误登录次数、有效时间
2.1原因 在验证码首次认证成功后没有删除session中的验证码,使得该验证码可被多次成功验证,造成危害
2.2测试: 2.2.1 测试流程 填写正确登录信息和验证码–>抓取提交数据包–>重复提交该数据包–>查看是否登录成功–>登录成功则存在验证码重复使用问题 2.2.2 帝国CMS漏洞演示 帝国CMS后台验证码显示重复 (1)测试环境 系统:Windows10 PHPStudy集成环境:PHPv5.3.29+MYSQLv5.5.53 CMS版本:EmpireCMS_6.0 (2)安装CMS 访问http://yoursite/e/install/index.php 安装好后先登录后台页面修改后台验证码显示设置,步骤如图 同时将后台登录限制增大(eg:100),然后拉到最下方保存设置,退出登录 (3)测试过程 第一步,输入正确信息点击登录时抓包 第二步,通过修改imageField参数的大小来实现暴力提交,自设一个两位数数字字典作为payload 第三步,查看任意响应包是否登录成功 从结果来看,暴力重复提交的数据包均登录成功,说明存在验证码重复使用的问题。 经过暴力重复提交后,客户端显示登陆成功 PHP5.2.17下测试结果同5.3.29 2.2.3 CMS漏洞分析 (1)原因 自 PHP 4.2.0 起,不再需要用mt_srand() 给随机数发生器播种 ,因为现在是由系统自动完成的,导致帝国cms的验证码会显示一样的字符。 (2)解决方法 在每个文件中找到该行将其删除或注释即可。 Seay源码审计系统中全局搜索mt_srand函数,含有mt_srand的文件为:
2.3 漏洞修复建议 在一次认证成功后服务器端清空认证成功的ssesion
3.1 验证码直接由客户端生成,在回显中显示,可通过浏览器工具直接查看
3.2 分类 3.2.1 在源码中显示 F12审计大法,搜索源码中有无验证码 3.2.2 在COOKIE中显示 抓包时分析COOKIE中是否含有验证码
3.3 测试 3.3.1 测试流程 (1)在源码中显示 (2)在COOKIE中显示 3.3.2 在源码中显示
3.2.3 在COOKIE中显示 以某网站找回密码模块为例 第一步,填写好相关信息并确认提交 步骤二:确认提交时抓取数据包 可以看到str_code回显在请求包中 步骤三:forward发送请求包,跳转到输入验证码和新密码页面 步骤四:填写从请求包得到的验证码,成功修改用户密码 防范:验证码由服务端生成且保存在服务端,不能通过任何API获取
4.1 漏洞成因 由于逻辑设计缺陷,可绕过验证,比如直接删除COOKIE或验证码参数可绕过、当验证不通过清空session时,验证码参数值为空时绕过等。 4.2 分类 4.2.1删除COOKIE绕过 4.3 测试 4.3.1 测试流程 4.3.2 测试环境 4.3.3 CmsEasy演示 CmsEasyv5.5删除COOKIE绕过验证 第一步,输入正确账户信息和错误验证码,登录时抓包 第二步,删除COOKIE 客户端登陆成功 74cms 设计缺陷导致全版本验证码绕过 https://www.secpulse.com/archives/26839.html 修复:在检测用户验证码时,先判断是否存在,是否为空,再判断是否正确
这类漏洞主要是指图片验证码,可以通过PKAV工具以及bp插件来识别,也可以用python
二、密码找回 1.敏感信息泄露
2.邮箱弱token 3.验证的有效性 4.注册覆盖
三、接口盗用 1.重放
四、账户越权 1、未授权访问 2、越权
五、支付漏洞
六、SSRF
