啊，酱紫越权？

啊，酱紫越权？

 

分享一个越权的新奇思路。

某小程序，的个人档案界面

常规测试越权漏洞的思路

注册AB账号来进行测试

点击我的档案测试账号一填写信息用户A

测试账号二填写信息用户B

以及各自的身份证号和手机号等等小程序要求填写的信息

点击"“我的档案”并且抓包，找到此包

在A用户的数据包中更改为B的uid就可以达到越权效果

但是新的问题来了

即使得到了其他用户的数据也是经过加密的

尝试将小程序反编译寻找密钥无果

想了很久，可以利用小程序的解密程序帮我解密加密字段

具体方式就是将越权得到的数据替换到正常流动的数据包中的返回包中

让系统认为受害这的信息是我们自己的信息

拦截数据包A---将数据包A发送至重放器--更改uid信息得到他人信息--将他人信息的加密字段替换至数据包A的返回包---正常解密

替换uid，可以看到返回的就是账号二的信息了（在账号一中看到了账号二的信息）

接下来进行uid的遍历（小范围遍历，只用于证明恶意攻击者可能的方式）

可以看到仅仅遍历了后四位数就遍历出了很多人的信息

我们仅仅拿一个做演示，这是小程序其他用户的信息，点击进入之后可以恶意更改用户病例，查看用户信息，删除用户信息等等高危操作

危害总结：

1利用难度低，系统虽然应用了jwt加密，但是攻击者根本不用去破解加密这个高难度的事，只需要将别人的信息包替换至返回包中发回服务器，前端就会自己帮攻击者解密。

2.数据泄露规模大，只要是用过这个小程序的用户，都可以通过遍历u的操作得到信息，全部信息都会泄露

3操作危险，攻击者可以恶意上传病例，恶意删除、更改用户信息

 

原文始发于微信公众号（猎洞时刻）：啊，酱紫越权？