WooYun.org

一处getshell，在重庆城中的青虫论坛中，对上传类型没有加以限制，导致getshell，
正常上传，

burp抓包，修改后缀为jsp，

ok！
一句话：

http://218.206.27.196:8788//bbs_show//images//upload//2016//04//03//web//193de376a03345c7a98d3693f02bf978.jsp  m:136366

敏感信息

<property name="user" value="whtybbs" />
		<property name="password" value="whtybbs" />

低权限，没进行近一步提权，我的目标是：任意登录账户

但拥有根目录权限，源码泄露，

找了翻日子没找到对应的管理登录账户密码就搁在这里，
后台地址：
http://218.206.27.196:8787/bbs_cms/system/login/init.action
登录时还需要手机验证，哎呦我去= =
我继续找啊找，发现了一处爆账户信息的地方，
在青虫论坛那，点击别人头像查看时进行抓包，

直接用游览器打开，

http://218.206.27.196:8787/bbs_cms/front/user/getUserInfoByID.action?userId=911a6a582f9049849d990ff85aa32ef7 修改id可以达到查看任意账户手机号或邮箱

这个漏洞留着，后面会用到！
该论坛权限控制不当，导致可以通过修改id来越权任意查看动态，私信，发帖等一系列操作！
拿超级版主的id，1a59c9e65d034a62b11bdd2ee5f34fd4
越权查看超级版主的动态，

越权以超级版主身份发帖

其重庆城app还有些越权操作，越权查看中奖纪录！
其也是通过修改id达到越权，

另外在抽奖时进行修改id可越权进行抽奖！
在通过各种思路后无果，没有找到可任意登录的漏洞，不管是找回密码的思路还是修改密码的思路都不行，但是，最终我靠坚持，找到了，
在登录时，用自己的正常用户登录，然后修改返回包，
在id这里，没有加密或限制，导致可通过修改id登录任意账户

拿超级版主的id，1a59c9e65d034a62b11bdd2ee5f34fd4测试
登录成功，

但是只是本地的一个效果，信息什么还是我原来的信息，并不是所越权账户的信息，

相信哪出错了， 这里，
还需要修改一处，手机号，

手机进行专门加密的，找一处自动加密的地方。。。。
在用手机号登陆那里可以输入手机号后抓包，这时数据已经是加密的了，同理，
找回密码那里通过邮箱找回方式时抓包可得到加密后的邮箱地址，登录那里也可以得到加密后的邮箱账号
于是，刚刚挖到的一处爆账户信息的漏洞可以爆出手机号码和邮箱，我们拿超级版主的号来进行登录吧，
id：1a59c9e65d034a62b11bdd2ee5f34fd4
加密后的邮箱账号：aKvpxU1LekEffCeBV7unvMA9CiM9mg2\/xSP5Q1w4tGA+66B1+GvjqbcMi0g
好，越权登录之，，

换一个进行测试，这个号由于不是通过手机号注册的所以查不出流量花费等信息，
id:d6ab8cc752e045b097639b11dd3a2e3c
加密后的手机号：aKvpxU1LekEffCeVU573vZQ4e28xkiDqiTfoNhlNsQkL+6h13aA
登录之，success

花费，流量，积分，阅览无遗！

成功登录到重庆城，

还存在一处绑定漏洞，
先正常获取一个绑定邮箱的链接，

http://218.206.27.198:8080/city/api.php?op=platform&opCode=bandemail&method=account.mailActivate&email=aKvpxU1LekEffCesG4urtMAhPi5tijWqiHagNi1NqR0D46xF4GvjqbcMi0g&userId=8172049076684e6c985dac8b17721373&type=2

里面的id是可进行任意修改的，
现在这个号的邮箱是这个，

越权绑定成功，

绑定成功

经过我测试，这招比较狠，就是被越权绑定了邮箱，别人就无法改！
最后可以通过绑定的邮箱来找回密码！
安全测试就到这里！