【HVV】某护网中:小程序渗透

admin 2024年9月3日11:25:00评论33 views字数 1922阅读6分24秒阅读模式

安小圈

第493期

HVV  专题

免责声明:本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。
【HVV】某护网中:小程序渗透

这次项目为某攻防演练的供应链厂商的小程序,中间遇见了很多思路是网上已经出现过的相信大家细心挖也一定能出货。

进入某微网厅

【HVV】某护网中:小程序渗透

进入以后进行功能点测试

【HVV】某护网中:小程序渗透

当前为未登录状态进入户号查询 查询过程中进行抓包查看,看到id就想遍历必须尝试一下

【HVV】某护网中:小程序渗透

但是这里有一点是以前没有遇到过的就遍历的过程中添加数字返回的全为空,而且这四个点进行修改返回也是空,测试了非常久灵机一动,将四个点全部设置为空 一发包。不就出了嘛(有一个坑点就是这个返回的过程非常的慢 需要耐心等一下)一下出了两万多条这不是框框上分。

【HVV】某护网中:小程序渗透

这个目录/index/selectUserCustmoer可以遍历,这个必须使用我的字典fuzz一下跑一下其他的目录能否继续遍历,果然成功了跑出一个/index/selectUserCustmoer 直接进行遍历

【HVV】某护网中:小程序渗透

数据包中发现了一个companyid 二话不说直接fuzz。

【HVV】某护网中:小程序渗透

果然出货了。

这个功能点有问题 相信其他的也不差继续测试,找到一个价格标志的功能

【HVV】某护网中:小程序渗透

该功能点击进去是一个照片,但开发可能为了简单将图片位置暴露了出来。在抓取返回包的过程中发现了图片存储位置而且很诡异。

【HVV】某护网中:小程序渗透

拿到地址直接进行访问,没想到他就直接跳转了。。。直接弱口令进去

【HVV】某护网中:小程序渗透

进入后发现数据量太庞大了

【HVV】某护网中:小程序渗透

本次打点到此结束。直接交数据分。

文章作者:先知社区(1576379985740222)

文章来源:https://xz.aliyun.com/t/15261

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透
【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

【HVV】某护网中:小程序渗透

END

【原文来源:李白你好 

【HVV】某护网中:小程序渗透【HVV】某护网中:小程序渗透本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来,目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。
郑重提示:未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。

【HVV】某护网中:小程序渗透

主题回顾

【HVV】某护网中:小程序渗透

《网络数据安全管理条例(草案)》
要点解读
【HVV】某护网中:小程序渗透 网传【HVV】
第一阶段结束:
常态化保障可以带来哪些改进?
【HVV】某护网中:小程序渗透 存在严重【供应链】安全风险,
MLOps平台曝20多个漏洞!

【HVV】某护网中:小程序渗透

微信【重要公告】!
这些朋友圈不能发

【HVV】某护网中:小程序渗透

揭秘常见【诈骗】手法,
提高全民反诈意识
【HVV】某护网中:小程序渗透 新 Webkit 【漏洞】攻击者
|利用 PS4 和 PS5 游戏机:
发起攻击
【HVV】某护网中:小程序渗透 普通人
如何确保全家【上网安全】?
实用防护秘诀全解
【HVV】某护网中:小程序渗透 【弱口令】之殇,
让网络防线秒变“透风墙”!

【HVV】某护网中:小程序渗透

【黑神话 被“黑”!】
|《黑神话:悟空》游戏平台
遭遇DDoS【攻击】:
导致全球多国玩家无法登录

【HVV】某护网中:小程序渗透

骗子来电声音容貌竟和家人一样?
AI换脸拟声技术使用乱象惊人!

【HVV】某护网中:小程序渗透

全国首例《黑神话:悟空》
【诈骗案】告破!

【HVV】某护网中:小程序渗透

关于防范新型电信网络诈骗
的风险提示
【HVV】某护网中:小程序渗透 从“网易云音乐崩了”事件
看【网络安全】

【HVV】某护网中:小程序渗透

【盘点】
十大「亿级」数据泄露
事件:个人信息还安全吗?
【HVV】某护网中:小程序渗透 自行车无线变速器
曝出【漏洞】
| 黑客可操纵比赛结果

【HVV】某护网中:小程序渗透

微信办公【泄密】的
四个高风险环节
【HVV】某护网中:小程序渗透 巴黎奥运会 | 期间共发生
超140起【网络攻击】事件
【HVV】某护网中:小程序渗透 【海外】一封钓鱼邮件
| 竟致特朗普竞选团队敏感数据泄露?!
【HVV】某护网中:小程序渗透 【防诈】发现家中有这种“盒子”,请立即拆除!

【HVV】某护网中:小程序渗透

原文始发于微信公众号(安小圈):【HVV】某护网中:小程序渗透

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月3日11:25:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【HVV】某护网中:小程序渗透https://cn-sec.com/archives/3122776.html

发表评论

匿名网友 填写信息