逻辑漏洞之绕过验证漏洞演示 - 中国网络渗透测试联盟

4 f' O% E) K& R1 w& h
9 }: D; h$ `6 A y9 i: _; H4 F! b1 I, c 本文中提供的例子均来自网络已公开测试的例子，仅供参考。
1 H, H/ F( E1 K' b. _+ b3 n* A
. o6 C; L' F; V; ? 本期带来绕过验证漏洞。为了保障业务系统的安全，几乎每个系统都会存在各种各样的验证功能。常见的几种验证功能就包括账号密码验证、验证码验证、JavaScript数据验证及服务端数据验证等等，但程序员在涉及验证方法时可能存在缺陷导致被绕过，于是斗哥总结了以下几种绕过验证的姿势和大家一起讨论讨论~
! l' I: C" c& `& W& p
; v. g* X1 a- I0 p1 w3 S6 ` E5 A) O 0 |: L# a9 m' B, _ y+ Y

. j; h" t9 I/ n5 }1 f' o 9 P2 a0 |, f2 @! D0 \" C

- f7 T" m( R: [! N4 l; E
% d6 d7 p( [8 a客户端校验绕过
A1 [- [9 |0 w* D( Z0 Z& }
8 y) I, s7 V% f3 B, Q客户端校验是常见的一种校验方式，也就是在客户端校验用户的输入，将校验结果作为参数发送至服务端，或利用前端语言限制用户的非法输入和操作。面对此类的校验方法可以通过修改前端语言或者在传输中对参数进行篡改来绕过验证。
) L0 c9 g! b6 F& K
' |8 o6 ? ?8 d2 m 举个栗子：
7 r/ ^1 t3 Y& W4 U7 o$ [' t7 D
/ y# w: Y i$ y a). 某系统需要购买才能观看视频，不同的课程以ID划分。
2 e% d6 C1 [: |+ K6 T U
, P) a" h# `8 N0 f5 `+ d+ I: V / j' d" ]6 I: o3 a( q: d2 k

+ m9 c& b% [% J% Z" j0 Q! _ ! L2 ?" T/ y3 f0 D7 i& a& H

% t$ m# ?# S3 `4 f; K, d
! K6 U5 S- n; y4 i0 N" S b). 发现是否付费只靠前端js控制，更改courseID就可以看到不同的课程，recordURL就是视频播放的链接，无需登录即可播放。
; G3 j; G, A+ w! L& l7 p% A7 E, o+ x
- b( o5 V/ r* D; L" e ) I# m% ~1 J% i+ c& }

1 D G! H3 p: Q 8 }4 p2 B }( _/ [

4 c+ t. ]# V. i2 A" a `. `- P
0 b5 N5 b7 V) L5 m: y! g c). 根据播放地址中的videoCode，可获取视频下载地址:
1 f# F+ Y1 l" R2 }
http://*.*.*.*/v3/resource/video/queryurl?jsoncallback=cb&quality=3&audioIndex=0&types=1&videoCode={videoCode}
( K5 B' `$ |- n# l0 `" h
( p5 n$ K8 W8 q9 B所得urls为视频下载地址。
' W) v$ s j, S- t$ L5 j* @
' y6 a& w- j; y( L, {: s6 [( B' [8 K 6 o+ ?* [' W1 @( P- m

3 X; Q4 L% b5 d6 C( D . }/ _; @$ @/ l

% O. ~4 ^ i0 A+ X0 p! v
" s% n. M- D1 o( ld). 通过脚本，可将全站视频下载下来。
& N+ H) Y: P% v3 b& |& S
, K! w3 H! C( _2 d/ k 8 S. ?7 K2 `/ q+ F/ @- c

7 Z" M$ Y2 d( B # @; b, N/ j; z& w

5 @6 _ O% Z- F9 C& b
6 Y, V# X- Y4 M, H j客户端验证信息泄露
7 C) Q: ]2 o8 L) I% T
: y! I: e& b/ r e: U+ l, y( c/ `程序员在编写验证程序时有可能会将验证信息直接泄露到客户端，攻击者就可以通过分析服务端的返回数据直接获得关键的验证信息从而完成验证。
0 C$ l5 w, a; |8 W6 u) Q
$ c& `. ] `6 X5 C/ _/ }1 D 举个栗子：
1 Z9 l9 u m" j
! q; T$ E8 c- r% _某免费wifi连接时需要使用发送到手机的密码进行验证，抓取发送密码的数据包时，发现密码返回客户端，导致任意全网账号可以登录联网。
/ D) u' E% x5 p! ^7 `
4 `3 Y. k$ ?0 q( n' X 1 v- s: h9 N$ `- F

( K# m, R9 o) s t z 6 R1 Z. N- I9 ?

# x* N0 B' } s7 l
b: k, \5 {) K7 a客户端流程控制绕过
$ Q) q! y) t- n8 S" I
& o$ [. p, T, j( }1 H5 ? 程序员在编写验证程序时有可能会验证结果返回到客户端，由客户端根据服务端提供的验证结果进行下一步操作，攻击者可以通过篡改验证结果或直接执行下一步操作实现绕过。
( \ D5 J. k* H& D0 ]0 p/ f6 j) d
. V. O; z7 g; i4 `8 Q2 ] 举个栗子：
% D& m0 j2 Y8 p& @- l, I
5 |4 o5 }" w& q6 C' Q a). 某系统重置密码需要三个步骤，首先要输入图片验证码。
2 {; F$ J) o6 ]/ ]
* C# I+ M/ W3 k7 N$ V: E6 A + e* f g* h1 X2 Q$ p$ m

3 Q6 f4 C, h/ ?% d 2 M0 P/ N7 [- g: d' @

: h+ `/ t& `7 @- I" R
; l: x% F. ~& p1 t3 O; }0 Fb). 然后需要通过短信验证码验证身份。
. b& b- a; v! `
5 g7 B7 A1 [: D0 @. { + v7 W; R0 V5 e; D% P! Z, c2 W

?1 o5 P* E- r! V& o 1 S( x4 U% J+ H/ q: J

' j# ^* J2 u( D% Y6 M3 A
+ ?6 y' m! A) k9 i c).访问http://*.*.*.*/a/user/findPasswordSetp 直接跳到重置密码的页面。
! G# D( p8 x7 x e8 V. }. y
1 o7 Z& E I9 L7 a0 R( c ( H7 p& x- S) s, h: X

9 g: h* W9 o' v' s; ?$ T! q- k 6 U4 w. O# Z F! K1 ]( R* @% T

* X6 e0 P( q& S$ Q# h
, H0 G0 D' [! u+ @; W& C9 Yd). 可成功修改密码密码。
s" @8 H/ D& t' j- _2 R4 E
- k; a1 @3 |+ K }6 C1 N# G 9 x9 E, B! P7 `7 y0 \

" z3 L' e4 s$ O8 ^ * ~& x4 c; a: B. O9 k+ {$ \( ]* y

. R" n- m2 s1 ~/ S- t* m' y8 n) G
9 I% ~7 m- l( I$ ^2 P, H操作目标篡改绕过
/ ^' F- I- D* ?; m9 s
( ?# T f$ ~) F0 ~. a; q6 q3 p如果某操作采用了连续身份校验机制或身份校验过程与操作过程分离，可以尝试在身份验证过程中替换身份校验对象或操作对象实现绕过验证。
( Z" }1 K3 j- G9 L! g7 U# T
$ O+ x# R0 Q! P4 Z+ w f 举个栗子：
: j: C( T- p- m. D
4 \4 m( [* M. d# r# ua). 修改某系统的绑定手机。
0 V1 \: p0 R& n" B0 d
, q1 z( m' }! c' N4 A c* I" G% _& Q* [- P9 K

: d/ y! s3 e5 N$ x0 r $ U4 y! {* f1 L4 [8 X6 H

* m' o8 P1 W1 [# x s% E
/ v, s- {( {8 Q& W! \, v2 h9 I+ E; e b). 选择免费接收短信校验码修改。
7 N% n/ w) [% \" J* }% @
0 r- }+ [' h! H: _ , Z+ W& }) i; r* [1 e* k; b& O

2 D1 ]2 i8 g5 S8 T 8 G+ E! A, }- Y3 H

! _4 s& v! k K9 T- ^. b5 ~( d
2 z* ^9 ^% B* u6 ~( Z7 T1 \9 X c). 将修改的手机号改为自己的手机号码。
. H; G6 d% S' B9 x% {
$ c! d% O \! d# H 6 C" x: _& i! c. q7 ~

' x; A7 f! X4 N, { 5 \6 H# ]: w5 Y/ H e2 H9 _

, @% t/ M' k" q o, G
: f6 o& a7 }9 z3 v8 \. c) ] d). 通过修改的手机号码收到的校验码修改手机号。
B0 o1 O6 f; C+ Y
2 a& g! T. L0 Y% p 1 r2 c( a0 k8 R" k: W3 e- J1 k. z! }

; G8 ?$ W6 a9 C . K" H1 g2 c; H4 A" I1 P5 ^% _

4 F3 U1 }7 T0 P; E2 Y
# F r1 R1 H. H4 Z8 L$ \
1 F! l7 p0 o+ O" Z7 @ M e). 发现可以成功修改成新的手机号。
4 U* h& M6 L/ m2 Y* g8 d
\! j5 G9 b# w1 I' m$ n+ l& Y, b" P ( v& G8 ^* ]* N; i. b3 Z* f

, D; U2 A- r" G4 s/ N1 d4 J. U * N' l0 }0 \( X8 G+ v) D! A& f0 Q

. V. c6 ?0 m( `3 i7 Z$ r5 q1 Q
t: c, w! C0 T# v8 f+ t7 p9 v( N参数篡改
9 B% [7 Z' W& U
0 K9 e; n+ R$ n. [ 程序猿小哥哥在编写验证程序时有可能会对验证码字段进行正确性校验，但当验证码字段不存在或为空时就直接通过校验。
1 j, Y. a& b9 X9 z! o0 c! I
- [5 \4 \5 k" N: C$ @ 举个栗子：
! [4 U P' S) b2 z: y5 b! C: T
7 e. E, B6 j1 r7 l3 a, o; K8 ]6 h a).某系统存在绕过验证漏洞，抓取登录的数据包。
2 f$ g; D' ~( y$ [' w$ s" V+ A
5 o0 [- r. K) c8 [5 ^/ d& F $ Y U. J: f5 g" s- [ V' P

# L& ~& p- O# G* e * p/ f$ O8 u5 n

- p4 \2 p3 i( P: S
) y% z4 B/ ]% D* |7 \, ub).删除验证码字段（securityCode）进行爆破。
* u0 p4 x/ B6 v6 y
0 I% T, w( @( A- t) t. P( @ 0 D! ?7 m) x, X" P T! w3 j9 B, z

8 J1 o9 l4 j4 a/ m k $ S( k0 ?0 e% v3 X! n

2 T& W0 x2 ], _# f7 [ g
4 b( a' [6 e# |% Qc). 爆破成功，并可以使用爆破出来的账号密码进行登录。
! U# ^) H' I2 p( P
' p H, A* N+ H - X5 ~8 z- C6 y% {+ F; w

8 @ \: M7 @; \% q# E: S2 k* [ 8 b: O. m* P* G, x5 a2 C; I% A9 ^

: {0 r6 m/ C4 R [ G4 y* J$ \ ) {& p! \* b6 }/ s y' U

% O, \. J! y) O% d4 R! D& O 2 G2 ^( U- A' a! t( \ C

2 }, t3 v9 f- ~0 d, |0 ]9 o. e5 D
" M- K) h5 v& v 辅助验证功能绕过
8 N# f- w4 V# M' i% p& w% k" A
1 a) f: K" Z# u+ y! W3 G: g2 T* b 为了验证用户身份或者避免攻击者使用自动化工具进行批量操作，应用程序可能会采用辅助验证功能，常见的辅助验证功能包括图片验证码、短信验证码、邮箱验证，这些功能在设计时如果存在缺陷则可以被绕过，导致辅助验证功能失效。
7 Z9 X) r5 L% O; D1 y: d P
% w' i$ I' J& G" f 举个栗子：
# W5 o& u5 I- l% ]' H6 @
3 K- ^; X! I7 ]0 ^' [a). 访问某系统，一开始页面无验证码。
# R, Z5 e- e' Q: y( b( V5 ^
; `" |. P9 H- S" a" l4 q& g2 b $ T) T I6 I4 H

( @, F5 |5 \0 w8 F' j, n/ { 9 v' Y; F0 n! n' H1 i& E

) y1 |7 _5 V6 _/ p* s
. s, q# C- a; h5 _: C9 X, U d b). 输错一次之后，出现验证码。
" I& x% H: y( Y6 ~
- n' ~ g7 J+ |; q 7 g( f$ B0 T y/ d5 g4 g4 @; z

6 e# g) L8 {- {, N p' [6 D% O1 z5 H

! B5 ?$ |$ Q1 x, Y0 ]* @
1 l4 Y( R: ?" g c). 尝试进行爆破，抓取第一次无验证码的数据包，发现会提示需要验证码。
9 Z) O9 T( _5 M+ P$ x
$ I: Z' U7 [2 p( i ' u$ L! l8 ?( ]

$ m g3 O& t8 I) | * x: Z6 t3 u2 I" E9 k

6 n; S i6 |$ c* ~+ ]& M7 r
- C3 q3 `1 l" o5 Y8 Z$ A0 Td). 多次尝试之后发现，验证码是通过cookie中的PHPSESSID来判断的。
! y- q- \( P! d3 m% c
N. w7 l5 l4 ~; y8 E' \ 0 K8 w: J# ~% a& X( y$ F

2 p! |2 Z/ M' C2 k 7 Z9 U; I! v4 J9 d

* l$ G: e- n+ }. u3 Q! o, P
' Q8 R% W* p/ l5 A5 ~ e). 修改PHPSESSID后成功绕过验证码限制。
0 b+ C1 L- f; C
( a3 [0 {* X, ]( a! G ' B+ h# Y, @* d2 B' U( I

/ y" \* H; U" _ - D7 ?" I: @7 ^: J# P

2 `' V9 V/ Y! h0 f- g, N
7 N8 B* ?( a$ m- _
* \7 ]/ U( ~" W4 P' E7 I H; yf). 成功爆出账号。
$ j0 x8 L! e' t! A6 t6 v2 ]
0 _+ ~0 U. f( V ! g8 I6 O" a1 F! Z) w' @2 q% M7 b

9 E: ^) P- \+ P: a% M 2 w6 \2 _2 G+ }& }

( f0 R( J* n& T0 c2 P
: @% p7 [# H* X7 ?
, n* B6 A# e! ~+ L- _5 a! \! a好啦，斗哥对于绕过验证的总结就到这里啦，对于绕过验证的修复斗哥有一点点建议：
0 u0 x- A4 }$ j i' O
, j, d% O& `: |+ s0 q+ h 1.所有验证在服务端进行，验证问题的答案不能以任何形式返回客户端中（如图片验证码答案、短信验证码、验证问题答案等）。
3 v6 `4 t0 H5 g* @" ]0 T- G
9 J! o6 g4 s# h; J/ t5 w- d 2.验证结果及下一步跳转操作由服务端直接进行。
. G& R7 Q/ @7 o. n2 Z
- v6 t6 `8 c% n3 k3.应尽可能避免采用连续身份验证机制，无论采用何种验证机制，只有当所有的数据输入以后，才进行身份验证数据的验证。 $ j. U9 x# ? S6 G: l$ }/ d