前言
好不容易才抽点时间学习一下渗透,补天公益SRC上随手找了一家公司练手。因为公益SRC很多时候拼手速和资产收集,所以这次直接瞄准小程序开搞。
漏洞一:逻辑漏洞
找到第一个小程序
然后微信登陆此小程序
接着在”首页“点击”签收凭证“,抓取此数据包
数据包如下图,将此数据包里面的”phone“和”mobilePhone“变成空值
发现存在有信息泄露
放到web端的页面更方便,发现有订单信息,访问里面的参数"fileUrlList"的url
发现全是签收订单,手机号,姓名等敏感信息
漏洞二:前端绕过登陆后台
找到第二个小程序
点击进入,是一个登陆界面
选择账号密码登陆,随便输入一个账号密码并抓包
拦截响应包,将"code"修改为0,两个false修改为true
修改之后,成功登陆
修改之后,成功登陆直接进入到工作台,但是因为未授权访问,只能拿到数据,没有办法进一步操作
漏洞三:越权漏洞
找到第三个小程序:
进入后注册账号,在个人设置中心找到收货地址
进入后注册账号,在个人设置中心找到收货地址抓取收获地址的数据包,发现存在member_id
因为我没有写地址,所以响应包中没有数据
修改一下member_id的值,发现越权成功,可以看到别人的姓名、手机号、地址等等。
漏洞四:信息泄露
第四个小程序:
这个小程序没有啥含金量,直接贴脸开大 点开这个小程序,直接抓到一个数据包
响应包
原文始发于微信公众号(Timeline Sec):SRC案例 | 某公司小程序四个漏洞挖掘过程
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论