大家都说web的难挖,又要十个案例才能下发证书,那就挖app吧,不需要案例,因为本身app就是一对多的用户关系,能够影响到别的用户即可
(以下漏洞都已提交了CNVD)
任意用户密码重置漏洞
通过日常的爱企业查高级查询导出5000万以上企业,并筛选有app应用的,随机开始挑选软柿子来捏
通过百度该公司的app发现
app还是很多的
这里使用的是夜神模拟器
安装好后,这里任意选择两个用户的其中一个都可以作为漏洞验证
用户1:1881924****
用户2:1598913****
选择任意一个手机号,选择忘记密码功能
点击进入下一步
这里的验证码随便输入6个1
点击下一步开启抓包
抓取响应包
将这个响应包改为如下:
HTTP/2 200 OK
Date: Mon, 08 Jan 2024 03:49:00 GMT
Content-Type: application/json;charset=utf-8
X-Application-Context: arch-zuul:prod:80
Server: elb
{"code":200,"message":"成功","data":null}
这里一共两个请求包,都要将响应包进行替换
成功进入修改密码
证书+1
02任意手机号换绑
下载好app后,模拟器启动Burp开始干活
注册好一个用户并登录后,来到设置处
点击绑定手机处
现在要进行换绑新的手机,我们随便输入6个1,点击下一步进行抓包
抓取响应包
将其替换为:
{"message":"成功","return_code":"0"}
新手机接收验证码后,点击完成即可
刷新下发现从155变成了188的手机号,证明成功任意换绑
Q
排除上述案例,挖app的漏洞还有哪些呢?
A
除了上述案例,改响应包外,还有越权漏洞,如修改id值造成越权接管别的用户或越权查看别的用户订单,像这种商城app,还可以测试新增收货地址的功能处,如越权新增到别的用户收货地址;以及优惠劵的并发测试呀,任意商品金额修改呀,又或者商品数量改成-1造成金额逻辑错误也有
# 往期推荐 #
PwnPigPig
~
原文始发于微信公众号(PwnPigPig):CNVD通用型漏洞挖掘-app逻辑缺陷的两个挖掘案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论