一次工作中前端函数审计引发的通用EXP漏洞
漏洞类型:
前端函数审计,函数可被调用,导致一键通杀EXP
看到这里,看到两个函数
getLoginSecret(),另外一个queryCompanyList()
再看看其他的函数
selectCompany(event,wzh){
chooseCompany(event){
event就是取用户输入的参数,这里感觉无法调用
changeQrCode()
uuidFun1()
checkUser() 取用户的,这个跟queryCompanyList()
函数应该差不多
forwardUpdatePassword()
这个函数已经直接调用了,我们不用管
那么我们回到getLoginSecret()函数
注意这里:
查询用户的密码加密key =
这里管理员声明是查询用户的密码加密key =
那么看他的提交方式
默认变量loginSecret为空
url : "/user/goLoginSecret", contentType : "application/json", type : "post", async : false, data : JSON.stringify({ otherAccount: $("#account").val(), account: $("#accountOnly").val() }), success : function(data) { console.log(data) loginSecret = data.data; } }); return loginSecret;
JSON去传了一个otherAccount参数
contentType : "application/json", type : "post", async : false, data : JSON.stringify({ otherAccount:$("#account").val() }),
那么如果这里可以被利用的话,这是查询用户的
我在想是管理员故意留的后门,还是没注意,以为这种方式很安全
这么想恰恰错了
我们注意是queryCompanyList()
函数触发的
我们为了验证这个函数的有效性,就需要找一个可以调用的函数,来触发
onclick事件
先看看登陆这里,没什么利用点
这里一个忘记密码
注意onclick这里
默认是调用的forwardUpdatePassword()函数
我们可以修改一下,让他触发到queryCompanyList()函数
然后截取数据包
如果成功利用,queryCompanyList()函数的参数将会被带入
果然参数被触发了
触发到了otherAccount参数
这时候,我们来查询一下用户,输入admin
查询到了信息
证明存在这个用户
那么我们再看另外一个函数getLoginSecret()
这是查询base64密码的
如果被成功调用,那么就可以查询到用户密码了
接着把函数改成getLoginSecret()
果然被带入了两个json参数
{"otherAccount":"","account":""}
我们在这里输入admin
成功查询到超级管理员的base64密码
那么有了这个思路
我们直接写个工具来EXP,更方便
我们接下来对
密码做一个简单的二进制解密
Base64密文:==
我们找到一个网站,下载base64解密工具
放入密文
然后直接输入命令
base64 --decode base64.b64 base64.tmp
然后使用二进制打开密文
