0x001
作为一只万年单身狗
只想默默问一句
那些小哥哥你们的美貌女朋友哪里找的
怎么我就找不到???
假期闲来无事,自然是默默的寻找好看的小姐姐
于是打开
0x002
经过一阵抽搐
挖掘SRC中搜索到了某职工APP
JDXGUI反编译发现加密了,于是找了一下历史版本
发现没有加密,于是搜索了一下http字符。
找到一个蜜汁地址,瞬间计入贤者模式
可以看到,后缀为loginPage.html
于是判断其实一个登陆地址,但是整个页面内没有登录框
右键看一下HTML源码
这就很有意思了,从解密可以看出加密方式就验证身份证加上密匙组成的加密字符串
而且注释还很贴心的给了一个加密后的字符串,默默给尽职尽责的程序猿个好评!
从前面的反编译代码可以看到需要一个参数?UserPID=
而这个参数哪里得到呢
结合两段JS代码可以得到,就是函数SE 中的返回的值
构造链接试试
http://test.com:9860/FriendsAPP/view/HappyTrain/loginPage.html?UserPID=zBCLoaGSQ+0vD0****************mno2xsQ=
这就很舒服了
点链接看看有什么功能
经过初步查看,信息还挺全的
然后再翻翻
卧槽好多漂亮妹子!!!!!!!!!!!
冷静冷静,毕竟我现在是个高贵的单身少年,怎么能被美色迷惑了心智
所以随便点进了一个妹子的主页
咦,我好像(孩)看(子)到(的)了(名)妹(字)子(都)的(想)身(好)份(了)证号码
USR_PID先默默的记下来
这个时候看到了个动态发布
试试能不能插个XSS钓钓妹子(我老婆)的COOKIE
凉凉
但是
在我的动态里面可以看到XSS执行了
那评论处呢
果然可以,但是需要进入我的动态里面查看才会执行XSSpayload
经过测试给其它人发私信也能执行XSSPAYLOAD
这里就不讲了,我需要的是妹子 ,妹子。
接着测试
突然发现一个管理
认真测试(瞎)点进去看看
这就很舒服了,注意USR_PID
前面我们不是有了吗
赶紧换上妹子的试试
卧槽,出来了妹子的联系方式爱好都有了舒服。
接着更舒服的事情来了
登录上了妹子的账号,这里得到了任意用户登录,只需要获取用户的USR_PID
至此,拿到了妹子(我老婆,虽然可能她不认)的各种信息
0x003
说点测试中发现的问题。
虽然写的比较简单但是漏洞挖掘中测试也进行了比较久
还有一些可以深入的点在SRC证明中争取危害扩大话的地方讲一下
首先是评论储存型XSS
这里只是简单的针对个人,那么我们可不可以遍历给每一个人发评论呢(一键代刷只要9毛9)
这里是可以的抓包看看
多余的信息都去掉 注意这个SHR_ID
接着看看评论的包
这里很明显评论的包里带了SHR_ID 的参数
所以我可以通过遍历获取SHR_ID 参数来然后批量发送评论
至于为什么确认是SHR_ID参数
评论两个不同的帖子看不同点,稍微分析一下就行了
至于怎么批量获取SHIR_ID
更改4为更大就行了
然后处理一下JSON数据提取一下
这是一个可以批量进行XSS的地方
另一个地方是批量获取USR_PID
基本上套路与上面一致还更为简单
同样是查看用户信息的地方通过更改用户数量
可以批量获取到USR_PID 然后用USR_PID可以遍历得到
用户信息。
0x004
最后总结
-
在SRC漏洞挖掘中,测试APP时新版加密或是抓不到流量可以尝试旧版本
-
有时候html或是JS中藏着惊喜。
-
在发帖和评论中经常会有XSS出现不过得细心。
-
抓到的包得到得参数记录一下,获取会用的上。
-
分析比较不同位置的参数和相同的参数能更好的理解程序执行的过程。
-
漏洞的危害扩大化,在SRC中更多的“刷洞”(上面的获取用户信息就可以分为两个
漏洞信息泄露和ID遍历漏洞)。 -
细心,细心,和细心(到处瞎几把点点点)。
-
某个大佬说的挖洞的本质就是参数。
本文始发于微信公众号(谢公子学安全):从一个APP的内部链接到查看妹子信息/登录妹子账号
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论