本文由掌控安全学院 -
郑居中
投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
在进行漏洞挖掘时,常常很苦恼没有账号怎么打,还要进行各种各样的信息收集拿账号密码,但是小程序解决了大部分的没账号密码事件,我们大家都知道小程序存在一件授权的功能点,点击即可获得后端鉴权的cookie或jwk等。
很多网站我们web端打不进去,就换个思路,看看有没有小程序,从小程序打入web端;(web端做的很好,可能小程序防护不那么严格)
0x01
直接找一些大公司!!!,找大公司看看能不能捡到洞,首先在企查查看看,直接看软件著作权信息,是否存在小程序信息
运气好,直接找到小程序管理软件:
0x02
在微信小程序搜软件简称,看到一个注册功能点,很开心,可是注册完就不开心了,注册信息要后台人员审核通过!!!(这个点直接跳过,去看看数据包中有没有发现)
在数据包中发现泄露了session_key,这里泄露session_key可以尝试利用,但是这里不存在利用,因为没有密文和VI值。
看到数据包中HAE插件爆红,我就知道有货,果然在数据包泄露信息,此时我们需要思考两个问题:泄露的是谁的信息,为什么会泄露这个信息?
根据操作,在推荐销售点,泄露销售的信息,打过小程序的都知道,这个列表的点很容易泄露信息(比如说选择地区,会泄露所有地区的信息)以后师傅们遇到时,可以注意一下
拿到信息后,登陆点只能邮箱登录,OK,将获取到的email进行登录,呃,师傅们复现到这时,发现漏洞点已经修复了。。。。。。
直接讲了,就是使用泄露的email进行登录会显示用户名或密码错误,但是随便输入账号会提示账号不存在,但是我刚刚复现,发现正确的邮箱也提示账号不存在(应该被删了)
回到登录那一步,虽然提示用户名或密码错误,但是数据包中回显了email地址以及对应密码的MD5值,通过MD5解密即可得到真实的密码。该漏洞产生的原因:(后台通过username值,调用了username中用户的数据,并回显出来,然后与用户输入的密码做md5校验)
这是复现时的数据包,心细的师傅应该可以看一下时间,21号发现,22修复(好快的速度,不愧是大公司)
然后小程序登录成功了,但是里面没有什么数据,然后就是想怎么扩大危害
转战web端,将小程序中的host复制到浏览器中访问,存在注册页面但是不能注册,和小程序一样存在审核
使用爆破出的密码和账户登录,登陆成功,成功进入后台,并且为admin权限
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):漏洞挖掘 | 记某大厂小程序信息泄露到拿下管理员后台
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论