一次奇妙的任意用户登录实战

刚刚进行了微信sessionkey的学习，正预备实战一下，就发现了这个神奇的网站，预知后事如何。请继续向下看去
1. 目标

[img=720,125.266]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529481.png[/img]

2. 开局一个登录框

[img=500,415.89506172839504]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529483.png[/img]

3. 首先，直接弱口令走起来，万一留有测试的账号呢

[img=720,299.0228013029316]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529484.png[/img]

尝试，1311111111，13333333333.13888888888，未果
测试多了另有验证码防止爆破，也就不再继续尝试爆破了
弱口令g
4. 点击微信快捷登录，发现sessionkey(步入正题)

[img=500,339.0894819466248]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529485.png[/img]

点击答应，数据包发现sessionkey参数

[img=720,375.87401574803147]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529486.png[/img]

找到我们github上找到的sessionkey使用插件，把session_key(加密解密的key)encrypt_data(向数据库提交的值)iv(偏移量)的值都复制到工具上进利用用
【----资助网安学习，以下所有学习资料免费领！加vx：dctintin，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战本领手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
但是怎么找到这个体系用户的手机号呢(全能的贴吧，抖音等地方得到了老师的手机号)

[img=720,283.9116719242902]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529487.png[/img]

成功登录，任意用户登录加
5. 发现这个接收了sessionkey的加密数据后，还会发送一个绑定手机号的数据包(又一个任意用户登录)

[img=720,285.3900709219858]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529488.png[/img]

修改哀求包的user参数，发现没有鉴权，直接输入用户手机号即可绑定登录
感觉离谱，任意用户登录又加
6.输入名字即可查看门生学籍信息(编码解码后名字为张杰)

[img=720,398.3583267561168]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529489.png[/img]

敏感信息泄露加
7. 维修处可以上传图片，尝试使用

[img=720,325.98425196850394]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529490.png[/img]

预备试试绕过，结果白名单加黑名单过滤，文件上传gg
但是删除文件发现是直接DELETE哀求，还是直接删路径，只能说开发太牛了，真的离谱

[img=720,312.54932912391473]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529491.png[/img]

测试不同用户文件可以直接删除，没有进一步尝试(害怕体系崩溃)，任意文件删除加
8. 发现这个另有一个预约平台，鉴于上个体系的离谱，继续尝试使用(非原图，原图特征太明显了)

[img=720,224.47058823529412]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529492.png[/img]

进入后发现只有验证码登录

[img=720,329.584487534626]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529493.png[/img]

尝试爆破四位数验证码

[img=720,470.75330649798735]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404221529494.png[/img]

成功登录，任意用户登录又加1
总结：
第一次碰见这么多的任意用户登录，发起增强鉴权，隐藏sessionkey值，登录设置次数要求，防止爆破。别的，进行漏洞挖掘，发起证实即可，未经客户答应禁止扩大危害，盲目扩大危害可能有法律风险。
更多网安技能的在线实操练习，请点击这里>>
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。