记一次对某高校微信小程序的漏洞发掘
发掘目标的部署在微信的资产(淘汰信息的收集,究竟一样平常web站点没有账号密码不好进入背景,发掘功能点少)1.探求目标的微信小程序(非原图)
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501787.png
2.招生小程序打不开,只能发掘管理系统
进入后发现存在上报安全隐患功能,可以上传图片
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501789.png
3.准备上传shell
发现控制上传名字参数为name,不是filename
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501790.png
修改后成功上传php脚本
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501791.png
4.放在浏览器发现不解析,直接下载,只能尝试上传xss
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501793.png
存储型xss加1
5.弱口令尝试失败,但是发现为Nginx搭建的(使用Wappalyer扩展)
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501794.png
6.因为之前有文件上传的漏洞,又是Nginx搭建的,通过Nginx的目录穿越漏洞去尝试恣意文件覆盖(为了防止这个平台崩溃,只覆盖自己举行目录穿越后的文件)
覆盖前: (看上传文件路径,为uploads下,原为日期20240312下)
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501795.pnghttps://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501796.png
覆盖后:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501797.png
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501799.png
恣意文件覆盖加1,扩大危害(可以覆盖网站设置文件导致网站崩溃,也可以覆盖登录页面的js文件来举行钓鱼)
【----资助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】
① 网安学习成长路径头脑导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权势巨子CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
7.微信小程序测试完了(没有授权,不敢扩大危害获取账号密码),就去试试公众号上的服务
没有账号密码可以进入的只有这个预约系统,直接bp启动(公众号图片不是原图,原图特征太显着了)
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501800.png
8.进入后没有什么功能点,成功fuzz出信息
尝试userid遍历,没有反应
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501801.png
直接探求get请求放在Intruder模块举行接口fuzz(/api/user/下)
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501802.png
成果:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501803.png
creatorId对应值为身份证,敏感信息泄露加1
9.对fuzz出来的role接口举行拼接尝试
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501804.png
简单尝试下发现g了(没有权限)
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501805.png
10.峰回路转,之前测试这个没有写报告,重新测试时,接口fuzz的接口记错了,结果在上一级目录下又举行了一次fuzz(/api/下),发现
微信ak-sk加access_token
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501807.png
身份证等敏感信息
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501808.png
主要这个接口的值照旧实时刷新的,信息会变(看前后idCard匹配对比)
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404151501809.png
总结:
文件上传漏洞不能解析(低危漏洞),但是遇见符合的框架漏洞(Nginx的目录穿越),就酿成的高危的恣意文件覆盖,测试功能点找不到接口,试试接口fuzz,一下信息全部出来,立马高危,修复建议:修复汗青漏洞,增强接口鉴权。
更多网安技能的在线实操练习,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]