标签：登录 账号 admin userid 密码 某次 url 越权

题记

         最近太忙了，没时间更新文章，趁着今天赶紧把自己最近遇到的神奇系统记录下。与大家共同学习。不知道为啥博客园不能从word直接发文章了，我好烦啊，这篇其实上周就写好了。

背景

         领导派活，获得某系统管理权限，可登录所有人的后台。

开局登录框

 

         此系统账号输入错误5次会锁定账号，因此爆破基本可以放弃了。

         扫描目录发现http://url/upload/存在目录遍历，可下载全站所有文件。

 

         之前爆破过在此域名另一个端口存在一个弱口令账号，用这个账户成功登录到后台。

发现越权 

　　

　　点击个人资料抓包，发现https://url/user/detail/后边存在一串类似userid的东西，在响应包里发现用户md5加密后的密码，与admin的userid与另一个管理员的id为userid。

　　形式类似：b478449f-50f9-4c18-000c-f2d9d45b1234

　　因为此用户由admin创建，由另一个用户修改资料。所以响应包里会有这2个账号的值。

 

　　将数据包的url替换为管理员的https://url/user/detail/userid可以查看到admin的密码为md5（密码）。

　　cmd5解不出来。

登录管理员账号

         虽然密码解不出来，但是在登录框抓包发现登录框登录的时候就是md5加密后的字符串。把密码的值替换成抓到的管理员密码。成功登录admin后台。可以在后台看到巨量的信息，包括身份证号，姓名，联系方式，密码什么的，这意味着我们可以登录所有人的后台。

 

任意文件上传

         找到文件上传接口，尝试传文件，配合目录遍历食用。但是jsp不解析会直接下载下来。猜测是jar包起的站点。传个html打个XSS。

         这里有个坑，这里注意把图片内容删除到png头（否则报错文件类型错误），内容改为XSS代码。

 

 

 

 

标签：登录,账号,admin,userid,密码,某次,url,越权
来源： https://www.cnblogs.com/sunny11/p/16422782.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。