点击上方[蓝字],关注我们
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。
文章正文
本篇文章是记录最近给一所大学做渗透测试时该学校存在的漏洞(目前已经修复)。我是先找该学校的微信小程序的资产,因为各位佬们也知道,微信小程序相对于web应用服务端来讲维护较少,所有漏洞存在多,好挖点。
嘿嘿嘿,下面就来讲讲我是怎么从这个小程序端渗透到web应用端。
知识点讲解
微信小程序的session_key有什么用?
官方文档说是用session_key来生成登录态,让前端每次请求的时候加上登录态来请求接口。
session_key 功能说明:
-
1. 微信客户端通过wx.getUserInfo()获取用户的信息
-
2. 后台有时候也需要获取微信客户端的用户信息,因此,就需要利用session_key这个秘钥来从微信平台中获取
-
3. 后台如果想要获取用户的信息,就一定要知道session_key,如果session_key 过期,就需要客户端完成一次登录的流程
图文参考:
渗透测试
我是有目的性的针对这个大学的小程序进行渗透测试的,所以直接在微信小程序检索该大学,然后挨个进行测试,发现该学校有智慧云平台(这个我还是蛮感兴趣的,因为之前我挖到蛮多的这类平台的漏洞)瞬间就比较兴奋。
一、弱口令爆破
直接进入该小程序,然后通过bp抓包,一般的思路就是拿到小程序的数据包,然后进行访问下该host,尝试下是否存在弱口令
admin:admin123
ry:admin123
二、越权漏洞
三、Wx_SessionKey篡改 任意用户登录
Wx_SessionKey_crypt工具下载链接:
https://github.com/mrknow001/BurpAppletPentester
收集该数据包中的SessionKey、iv以及加密字段三个部分,然后再利用Wx_SessionKey_crypt这个工具,我们就可以通过篡改手机号,从而可以任意用户登录危害漏洞。
可以利用这个Wx_SessionKey_crypt工具,进行解密,可以看到确实是我自己的手机号
总结
这次的渗透测试来讲还是很有收获的,特别是第三个Wx_SessionKey篡改 任意用户登录,大家可以去小程序尝试下,大家首先得找到SessionKey、iv以及加密字段三个部分,然后才可以利用这个工具进行篡改,然后任意用户登录。然后其次就是大家如果第一次挖漏洞还是渗透测试什么的,一定不要小瞧弱口令,因为只有登录进去了,里面后台的很多功能点你才有机会进行测试。
最后希望这篇文章对漏洞挖掘和渗透测试师傅们有帮助!!!
文章原文:https://xz.aliyun.com/t/14956
技术交流
原文始发于微信公众号(Z2O安全攻防):记某智慧云平台越权信息泄露SessionKey篡改 任意用户登录漏洞
原文始发于微信公众号(Z2O安全攻防):记某智慧云平台越权信息泄露SessionKey篡改 任意用户登录漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论