记一次超骚的SRC漏洞挖掘思路

前言

在这家SRC漏洞挖掘过程中，真的防得比较死。这次的操作是通过阅读微信小程序开发文档，终于找到的突破口。目前未看见有这个漏洞的分享，今天分享出来觉得好的话点个关注吧！

实战

在经过大量分析后说实话都没找到洞，有点失落的感觉，在这里找到了一个登录点，如果是你又会想有什么想法呢？

该功能点是通过微信小程序进行扫码登录，先点击个人登录抓个包试下

抓到这个接口数据包，返回一大串加密数据，一脸蒙圈，该接口的字面意思就是获取微信的accesstoken

现在系统有太多这样使用微信小程序扫码登录的功能点了，所以我决定好好的去看看开发文档，以后说不一定能挖到非常多洞。通过开发文档了解到accesstoken是微信小程序的调用命脉

通过抓取的数据包知道上面的个人登录功能点是先获取accesstoken、再调用accesstoken来后去生成二维码。这里直接就获取微信小程序的accesstoken了、相当于无需知道appid和APPsecret就可以拿到accesstoken了，这里补充一下知识点。根据小程序开发手册，如果你获取到appid和secret的话那么就可以直接获取到accesstoken

https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET

利用该accesstoken去在线开发者工具平台上传一张图片证明accesstoken是微信小程序的accesstoken 如下：上传成功：后续可以根据开发者文档调用很多微信小程序的接口、危害大。还有微信开发者文档规定accesstoken一天只能获取两千次、可以通过该接口不断获取接口accesstoken、从而导致奔溃、后续只要有用到accesstoken的功能点和小程序都会无法使用为了不影响业务在快凌晨12点的时候进行了测试复现Burp不断请求、一分钟不到就获取不到accesstoken尝试进行登录，已经无法获取到二维码了、并且很多内容都是需要登录才可以进行查看的，危害非常大，最终2k赏金成功拿到，可以去撸串了哈哈哈师傅们后台私聊可以相互添加公众号白名单哦