原创先锋后台管理平台未授权访问漏洞.md

1.2 KB / 2021-07-04 06:01:08
    # 原创先锋 后台管理平台 未授权访问漏洞

## 漏洞描述

原创先锋 后台管理平台 存在未授权访问漏洞，攻击者通过漏洞可以任意接管账户权限

## 漏洞影响

> [!NOTE]
>
> 原创先锋 后台管理平台

## FOFA

> [!NOTE]
>
> body="https://www.bjycxf.com"

## 漏洞复现

后台登陆页面如下

![](http://wikioss.peiqi.tech/vuln/ycxf-1.png?x-oss-process=image/auto-orient,1/quality,q_90/watermark,image_c2h1aXlpbi9zdWkucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTQvYnJpZ2h0LC0zOS9jb250cmFzdCwtNjQ,g_se,t_17,x_1,y_10)

未授权的Url

```
/admin/admin/admin_list.html
```

![](http://wikioss.peiqi.tech/vuln/ycxf-2.png?x-oss-process=image/auto-orient,1/quality,q_90/watermark,image_c2h1aXlpbi9zdWkucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTQvYnJpZ2h0LC0zOS9jb250cmFzdCwtNjQ,g_se,t_17,x_1,y_10)

点击添加并授权即可获取后台模块权限

![](http://wikioss.peiqi.tech/vuln/ycxf-3.png?x-oss-process=image/auto-orient,1/quality,q_90/watermark,image_c2h1aXlpbi9zdWkucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTQvYnJpZ2h0LC0zOS9jb250cmFzdCwtNjQ,g_se,t_17,x_1,y_10)

## 参考文章

http://www.0dayhack.net/index.php/1693/