SRC挖掘日常4

某网站后台存在组织设置功能，如下：

可以设置组织logo。

上传一张图片，抓包：

这里的logo图片地址完全可控，想到结合csrf进行利用。

到个人中心处，发现能够绑定微信：

扫描，拦包，在手机点击确认后会抓到如下报文：

关键点在于此处的code值，只要任意用户访问带上code的/auth/weixin/....就会将我的微信绑定到他的账号。

把这里的get请求做一个csrf的poc，替换为logo的url地址，此时只要加载logo，就会将自己的账号绑定上攻击者微信，攻击者通过微信扫码登录即可接管账户。

现在只需要让受害者加载logo即可，但是组织管理只有管理员可以进行，并且也只有内部成员才会加载组织logo。

在浏览整个网站后台功能之后发现，存在邀请成员的功能，输入目标账户的手机号或者邮箱即可成功邀请，无需对方同意。

邀请之后登录后台之后就能选择组织，并且自动加载logo，效果如下：

下面进行完整的操作。

首先微信绑定扫码，拦截报文，抓取自己的code（这一步抓到code，做好poc之后记得要drop掉报文），将logo地址替换为poc，最后邀请受害者加入组织即可。

在受害者登录后台之后，此时已经多出了一个组织可供选择，并且logo不是正常的图片（但是已经成功加载）：

刷新页面：

微信扫码，成功接管受害者账户：

同样可以将logo替换成其他功能点，例如退出等等，会导致受害者无法选择企业，在登录后台之后就自动跳转至登录界面，造成拒绝服务。