WooYun.org

1.先看看大牛zhe的app思路

http://**.**.**.**/bugs/wooyun-2010-0134808

2.那么pc端呢，会不会也存在这个漏洞
先来找回密码页面

http://**.**.**.**/visitor/getPwdPhone.action

好奇葩，居然有两个验证，一个是用户名验证有没有注册，而是填写手机号，会匹配和帐号的关系，假如匹配不到，就不能获取验证码
3.那么是不是没办法了呢？
进行简单遍历，发现adc123帐号是存在的

想了一想，可以伪造手机号进行欺骗吗，看看是哪里进行判断

看看返回包，可以动动手脚

鸡冻了一下，改为true

看着已发送验证码，真是嗨皮

是不是开心的太早额，手机过了1分钟都没验证码，估计是系统后台校验了匹配手机号，失败告终
4.那么放弃了吗？
那是不可能的，男人不能轻言放弃
神奇的逆转
突发奇想，直接绕过手机号，绕过验证码
依旧抓包，改为true

是不是很惊喜，到了重置密码页面，好开心

重置为123456

完成了这一步，其实更紧张了，我担心会不会只是自慰方式，因为有时候确实会出现自慰的情况
那么登入试试吧

哈哈，开心

进去一看，身份证，电话号码，邮箱都是明文，好可怕

5.接下来，我又看到头像可以上传，是不是可以getshell呢？？
找一个png图片，php马

截断为php后上传

地址：

http://**.**.**.**/upload//banner/images/2015/11/06/8464bedef46f44bb987893cc6689cf3e.php

很嗨皮的上菜刀

妈呀，这是什么原因 好烦啊
更换目录试试

还是不行呀
哈哈 门口发呆了一会儿，什么玩意
继续干
我去zone逛了一大圈，想了想，用jsp吧

用大牛园长的jsp一句话，密码023
我选择上传，ok，返回路径

访问试试吧，好激动好紧张

http://**.**.**.**/upload//banner/images/2015/11/06/6fd636cbfb7440e5b0ae0bcdd1c9526b.jsp

这一会儿我哭了哈哈，黄天不负有心人

在证明一下哈，泄漏大量敏感数据