WooYun.org

263企业会议
先注册两个账号供测试：
http://ss.263.net/SelfService/register/userRegister.action
账号1：男一号
账号2：男二号
目标：男二号成功打到男一号Cookie,并成功登录会议后台管理，
1.男二号登录系统，添加用户组，发现用户组信息可越权：

2.编辑用户组
http://ecs.263.net/getContactGroupInfo?CONTACTS_GROUP_ID=23520&t=0.6552546233447352
参数CONTACTS_GROUP_ID可任意修改，并保存成功。
3.联系人也一样，可以越权修改，删除：
编辑联系人
http://ecs.263.net/queryContactInfo?ID=710815

删除联系人
http://ecs.263.net/delContact?CONTACTS_ID_LIST=710821
4.利用这个漏洞可以遍历所有用户的联系人信息，包括姓名，手机号，邮箱地址等，ID为自增，可遍历，目测有100万+。

这些信息也不算是绝密信息，最多就是打个骚扰电话什么的，还是比较鸡肋的，用处不大。
5.然后做XSS测试，JS有简单验证，但是后台无验证，轻松绕过：

抓包，修改组名称，构造XSS，提交：

成功加载XSS：

6.遍历用户组，找到男一号的用户组ID，然后构造XSS，保存：
http://ecs.263.net/getContactGroupInfo?CONTACTS_GROUP_ID=23521&t=0.3077797630749748

7.只需要男一号登录系统，查看了联系人，立马触发XSS，成功打到Cookie:

8.男二号利用打到的Cookie成功登录男一号的系统：

可以查看主持人密码，参会人密码:

至此，男二号可查看男一号的通讯录，充值记录，召开电话会议，利用会议参与密码可以接入任意正在召开的会议等。