为什么白帽工程师热衷挖逻辑漏洞
在安全设备日益完善的今天,获取 Shell、内网横向移动变得越来越困难。逻辑漏洞相比而言隐蔽性更强,利用门槛相对较低,且往往能直接获取核心数据,因此备受安全研究人员青睐。
逻辑漏洞的特点
- 安全性:大型目标通常强化了系统防护,外网设有 CDN、WAF,内网有蜜罐、堡垒机等。逻辑漏洞较为隐蔽,控制好间隔和线程不易被发现。
- 精确性:即使拿到入口点,也不一定能找到数据库或核心网络。逻辑漏洞可以有选择地获取需要的数据。
- 利用难度:内网数据库权限控制严格,普通账号难以获取 sysadmin/root 权限。而逻辑漏洞利用条件较低,大部分接口不健全,一个普通账号即可尝试。
常见的逻辑漏洞类型
- 接口漏洞:参数/数据遍历、未授权访问
- 认证绕过:验证信息泄露、前端验证、重复注册
- 账密找回:跳过验证、弱 ID/弱验证码
- 支付逻辑:金额修改、数量修改
- 越权漏洞:垂直/横向越权、任意密码修改
案例简介
本文通过三个经典案例展示逻辑漏洞的挖掘思路。核心在于了解目标各功能的业务处理逻辑,抓取关键数据包中的有价值信息,进行逻辑组合利用。
案例 1:功能点组合与唯一标识遍历
场景:利用不同功能点泄露的参数进行组合,获取唯一标识后遍历。
- 咨询登记:提交咨询申请,观察是否返回当前咨询信息的唯一标识。
- 查看咨询:通过邮箱获取 Code 登录查看记录。尝试认证绕过,修改响应信息(如 code=0000/1111)。
- 后台分析:登录后发现仅有 ID。记录并测试其他功能。
- 修改咨询:点击修改咨询,观察 URL 发现唯一标识(如
bagid)。判断是否有加密、规律或可解性。 - 规律分析:
- 若
bagid无规律,需手工 Fuzz 或工具枚举。 - 替换字符验证响应(如 500 错误),判断是否存在顺序。
- 使用 Burp Intruder 进行半自动化枚举,分析大小写、数字规律。
- 若
- 扩大战果:反推每个位置值的规律,结合已知信息进行攻击。
Tips:
- 步骤控制绕过:检查响应包中是否直接返回步骤标识(如
setup=1),或隐藏标签(如<input type="hidden">)。 - 请求包参数:搜索 JS 文件关联代码,修改步骤控制部分参数或伪造数据包。
案例 2:跨系统业务逻辑组合
场景:同一目标下不同域名、不同业务系统之间的漏洞逻辑组合。
- 注入获取权限:通过注入获取 PASS 进入后台。
- A 系统遍历:A 系统中某功能点发现
id参数为唯一标识,可遍历获取关键信息 A-Number。 - B 系统越权:B 系统查询详细信息依赖 B-Number。结合 A 系统漏洞,将 B 系统查询参数 B-Number 修改为 A-Number,实现横向越权查询。
Tips:了解系统间业务逻辑含义,寻找可控点(如登录验证逻辑中的唯一标识)。
案例 3:源代码隐藏信息与认证绕过
场景:关键信息隐藏在源代码中,通过隐藏信息绕过认证获取唯一标识。
- 流程抓包:查看别人咨询记录需验证邮箱。对全流程抓包分析。
- JSON 分析:发现某个数据包返回包含 bagid 对应邮箱等敏感信息的 JSON 代码。
