懒得打码不放图
1、有两个测试账号,a(攻击账号), 测试账号b(被修改信息的账号)
2、图片拉到最下有修改信息按钮,点击修改并抓包,得到两份数据包
经过观察得知,两个账号cookie部分的XINHAI_Student_Id不一样,账号a是38034,账号b是38041,XINHAI_Student_Password不一样(给两个账户修改为相同密码后,发现这个部分就一样了,这个部分就是用户自己的密码然后经过一系列加密的结果),name的部分不一样(但是经过后续测试这个name的名字不一样不影响测试结果)
3、把账号a的XINHAI_Student_Id和XINHAI_Student_Password替换为账号b的数据再发包,回到网页发现测试账号b的个人信息已经被修改
4、经过别的账号抓包,一个账号多次抓包后发现,XINHAI_Student_Id是固定有规律的值可批量爆破,XINHAI_Student_Password虽然无法解密,但是只要受害账号和攻击账号用的是同一个密码,这个部分的值就一样。初始密码是123456很多人都没有改,就算改了由于网页没有密码限制很多人会图方便改成弱密码。
因此只要有一个账号,固定住一个弱密码,批量爆破XINHAI_Student_Id就可以实现大量修改他人信息
5、组合漏洞:
如果在修改完他人信息后直接退出,会导致修改个人姓名,导致后台姓名和每个人固定的XINHAI_Student_Id匹配不上,进而即使密码账号正确也登录不上。
在登陆的时候抓包会发现登录的数据包里也带了这个固定的XINHAI_Student_Id,这个id会和学生的账号绑定,修改学生姓名后直接退出下次在登陆,就会由于账号、名字、XINHAI_Student_Id不匹配产生逻辑漏洞,导致学生无法登陆(我还有一个自己的号,修改了个人信息包括名字变成舍友的,然后直接退出了,后面再次登录账号密码正确也登不上。抓包后发现登录时的XINHAI_Student_Id也改变了,变成了我舍友的,翻进后台账号后,发现后台里我的学号对应的名字变成了我舍友。。但是我的有的管理员权限不足够重置密码,只能上报学校重置了)