实战!记一次某神秘APP渗透测试

admin 2024年2月24日23:00:11评论32 views字数 1470阅读4分54秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

0x00 前言

某个星期六的晚上,我还在挖 edusrc ,刚 getshell 内网漫游完(纯属放屁哈哈哈)准备下机睡觉,修君表哥给我发了某站(表哥们懂的,疯狂暗示),我打开一看,WC好东西,不渗透一波怎么能对得起它呢?

0x01 背景

找到某app的界面:
实战!记一次某神秘APP渗透测试

咳咳,表哥们别想太多哈,本人纯情小处男,啥都不知道,啥都不懂

0x02 过程

看了看功能点,有一个注册的地方,但是注册的时候居然要邀请码!!!真的很没意思,一点互联网资源共享精神都没,这就很过分了,这么好的东西怎么能吃独食??

必须安排一波,没办法,看着到手的资源就要飞了,于心不忍啊,于是将app放到虚拟机,通过抓包拿到其真实域名

实战!记一次某神秘APP渗透测试
然后利用bp的爬虫爬到一处api接口
实战!记一次某神秘APP渗透测试
提示参数缺失,fuzz一波参数,fuzz.jpg (自行脑部bp fuzz图 忘了截图了)
http://www.xxxxxxx.cn/api/index/tab3?p=1&t=3&v=0&s=0

实战!记一次某神秘APP渗透测试

然后就是一波中奖
实战!记一次某神秘APP渗透测试

但是不是DBA,也无法写文件,数据库实在太乱了,懒得一个一个的读。

目前后台地址也还没找到,而且这个站及其的卡,思路完全乱了。

想着先利用注入搞一个账号出来,然后登录该app,看看app内有无什么可利用的。
但是除了一处留言反馈准备测试xss之外,就是各种诱惑。。。。
留言框只允许中文以及中文符号,但是却是使用js进行验证,抓包即可绕过。
实战!记一次某神秘APP渗透测试
对着该处留言框就是一顿乱插,中途等了大概10分钟,就当我以为要失败的时候
实战!记一次某神秘APP渗透测试
果然,菜逼运气好==

拿到后台登录地址,虽然没有cookie,但是利用注入点读出了后台账号密码

实战!记一次某神秘APP渗透测试
最后登陆后台
实战!记一次某神秘APP渗透测试
实战!记一次某神秘APP渗透测试
看了看后台,app总用户达到1w+…一天用户增加500+
实战!记一次某神秘APP渗透测试
翻了下后台的功能,发现一处图片上传,而且似乎是js验证的图片类型
实战!记一次某神秘APP渗透测试

但是在实际上传中各种失败,应该是前台js验证+后端功能让所有上传的文件强制改名为.jpg

接下来的事就比较好玩了,虽然拿到了后台,但是没法突破,没卵用
于是我添加了后台留的一个QQ号
实战!记一次某神秘APP渗透测试
对方秒通过,经过简单的交流,发现他是这套程序的二开作者,售卖给别人被别人用来当作淫秽视频传播盈利网站了。

于是我就将计就计,先唬住他(我摊牌了,我是演员)

实战!记一次某神秘APP渗透测试
实战!记一次某神秘APP渗透测试
这个地方 hw 和授权书只是我骗他的==,各位表哥看着爽就行
实战!记一次某神秘APP渗透测试
实战!记一次某神秘APP渗透测试
甚至他把他的网站后台账号密码都给我了。。。
实战!记一次某神秘APP渗透测试

tips:以上内容都是瞎编的,大佬们不要当真!

通过他提供的部分上传验证源码,发现是后端对上传文件强制改名了,我人都傻了,大佬们有绕过思路可以在下方评论

最后还是没拿到shell等,也就是只止步于后台了。一方面是这个后台实在太鸡儿卡了,动不动无法响应。

另一方面就是漏洞利用手法没有全面利用,导致忽略了很多getshell的姿势,还是太菜了呜呜呜,表哥们轻喷。
最后,这里附上修君表哥博客:http://www.xiu09.cn/

关注我们

实战!记一次某神秘APP渗透测试 还在等什么?赶紧点击下方名片开始学习吧!实战!记一次某神秘APP渗透测试

信 安 考 证

需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球1年!

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...

实战!记一次某神秘APP渗透测试

推 荐 阅 读

实战!记一次某神秘APP渗透测试
实战!记一次某神秘APP渗透测试
实战!记一次某神秘APP渗透测试

实战!记一次某神秘APP渗透测试

原文始发于微信公众号(潇湘信安):实战!记一次某神秘APP渗透测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月24日23:00:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战!记一次某神秘APP渗透测试https://cn-sec.com/archives/2099120.html

发表评论

匿名网友 填写信息