记一次 bypass 前端验证 + 后端缺陷

字数统计: 1.3k字   |   阅读时长≈ 5分

有人找到我,搞攻防请求支援,当然这种请求那当然要逝世呀

0x00 故事的开始

有人找到我,搞攻防请求支援,当然这种请求那当然要逝世呀

0x01 开始渗透

发了一堆站,有ip有域名

我搞了一晚上啥都没发现,本来想挖挖越权啥的

早上起来用jsFinder扫描,说不定有什么接口泄露呢

结果还真扫到了一堆,一看就看到了一些不得了的东西

getAllUsers,deleteuser等
尝试访问一个接口发现报错

有可能是未授权!,赶紧构造一下参数

分析js后需要两个参数

随便构造了一下出现了所有人的信息但是密码全部md5加密了,尝试解密了一下解不出来,size表示显示的字节

接下来要想办法进入后台进行更多的操作,因为构造参数什么的太麻烦了,他的大部分参数都rsa加密过

尝试修改过登入的返回包也没用

改为0表示成功

image-20210604174516077

发现并没有用

image-20210604174618827

如果换做以前的我,我会放弃,但是!我遇到了龙哥(前端代码审计的神)

0x02开始反转

image-20210604174901464

image-20210604175102543

找到了js判断是否登入后台的地方

while (1)
switch (e.prev = e.next) {
case 0:
if (T.a.start(),
document.title = j(t.m eta.title),
i = O bject(P["a"])(), !i) {
e.next = 9;
sessionStorage.setItem("user", JSON.stringify({ "userRole": "admin" }))
break
}
if ("/login" !== t.path) {
e.next = 9;
break
}
o({
path: "/"
}),
T.a.done(),
e.next = 28;
break;
case 9:
if (r = p["a"].getters.name, !r) {
e.next = 15;
break
}
s = JSON.parse(sessionStorage.getItem("user")),
"admin" == s.userRole && "/bg_userManage" !== t.path ? (O bject(a["Message"])({
message: "只有用户管理的权限",
type: "warning",
duration: 5e3
}),
o({
path: "/bg_userManage"
}),
T.a.done()) : "audit" == s.userRole && "/bg_logManage" !== t.path ? (O bject(a["Message"])({
message: "只有日志管理的权限",
type: "warning",
duration: 5e3
}),
o({
path: "/bg_logManage"
}),
T.a.done()) : "user" != s.userRole || "/bg_logManage" !== t.path && "/bg_userManage" !== t.path ? (o(),
T.a.done()) : (o({
path: "/404"
}),
T.a.done()),
e.next = 28;
break;
case 15:
return e.prev = 15,
e.next = 18,
p["a"].dispatch("user/getInfo");
case 18:
o(),
e.next = 28;
break;
case 21:
return e.prev = 21,
e.t0 = e["catch"](15),
e.next = 25,
p["a"].dispatch("user/resetToken");
case 25:
a["Message"].error(e.t0 || "Has Error"),
o("/login?redirect=".concat(t.path)),
T.a.done();
case 28:
e.next = 31;
break;
case 30:
-1 !== z.indexOf(t.path) ? (T.a.done(),
o()) : (-1 !== n.path.indexOf("/non_visitor") ? o("/dashboard") : o(n.path),
p["a"].commit("user/SET_LOGINWINDOWSTATE"),
T.a.done());
case 31:
case "end":
return e.stop()
}

使用f12断点进行Dbug调试

image-20210604175501133

发现是走到了0

image-20210604175537414

然后赋值了30,因为是while (1)所以跳到了30后面就直接结束了

image-20210604175647519

注意到了9,感觉就是后台页面,我们只需要想办法进到9里面就可以了

image-20210604175807700

尝试重新调试

只需要在他赋值30的完事后在重新赋值覆盖掉他的值

image-20210604175943529

然后不就会跳转到9了?

确实,成功跳到了9

image-20210604180037854

第一个if没有进,不管他看下面的s.userRole,而s又等于JSON.parse(sessionStorage.getItem("user"))

image-20210604180348622

直接在这个地方赋值s.userRole="admin"发现报错,请求了龙哥

0x03白热化阶段

image-20210604180522104

image-20210604180545776

image-20210604180635111

sessionStorage.setItem("user",JSON.stringify({"userRole":"admin"}))

他这里先构造一个userRole=admin的json然后在进行写入本地的sessionStorage?

前面搞定了只需要把path路径改为bg_userManage就可以查看了

image-20210604181200037

成功进来了这个判断:

image-20210604181409145

查看后台:

尝试添加一个账号

image-20210604181657503

果然,rsa加密了,如果我不进后台,拿头给他构造

image-20210604181820472

登入就完事了

image-20210604182027341

第一次登入需要修改密码:

image-20210604182104210

尝试直接修改别的用户的密码:

image-20210604182155268

结果真的可以修改

登入后的页面就不展示了,全是水印根本码不过来

0x04推荐

推荐浏览器插件reres

可以把网站的js下载到本地进行本地加载(实现修改js的目的,省的dbug修改)

image-20210604182851612

可以直接在0的地方修改

image-20210604182948940

就不用每一次dbug了

0x05结尾

以后渗透要多看看js,接口什么,实现真正的从0到1

image-20210604183205324


谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

俗话说“好记性不如烂笔头”,各个安全社区各自为战,当我们想要搜索某一方面的文章的时候总是得在各个平台之间来回横跳,于是乎,一个平台文章聚合搜索的想法诞生了。
然后正好我想有一个自己的博客,于是乎两者融合在了一起。
下面简单介绍各个导航的区别:
个人文章:本人的笔记、复现、总结等或者本人参与的共同创作。
收集文章:手工从公众号收集保存的文章,更新频率看本人喜好所以比较慢。
聚合文章:从各大平台收集整理,由工具实现,每天更新。
很惭愧,只做了一点微小的工作。