渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式

admin
admin
admin
140350
文章
117
评论
2024年6月23日22:51:19评论1,154 views字数 961阅读3分12秒阅读模式
 

前言

针对小程序和公众号的渗透测试,咱们都知道只要拿到开发者ID(AppID)和开发者密码(AppSecret),咱们即可结束此次测试。
拿到Appid和Appsecret之后咱们大概率可以直接实现账号接管(有些可能是假的,过期的key) o(╥﹏╥)o)
记录一次最近在渗透测试中发现的一起秘钥泄露实现多权限账号接管的案例。

测试流程

拿到目标靶标信息之后,首先是经过一番信息搜集,常规Web方面的防护比较齐全,waf、数据加密等在各个功能点都有体现,只能转战其他地方。查看了公众号和小程序,公众号是直接调用官方api,没有自己开发的业务,只能放过,开始对小程序的测试。
打开小程序,注册登录,挨个点完功能点,基本上都是数据查询,没有类似文件上传等功能点,查看burp数据包,突然发现一个有趣的数据包
渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式
重放发现这是一个配置信息的接口,里面存在诸多秘钥,包括但不限于微信小程序秘钥,支付宝平台配置秘钥,以及业务对接api秘钥,因为敏感问题,这里只能厚码处理了,请各位看官老爷见谅
渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式

渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式

危害证明

经历过甲方的灵魂提问,这个key有啥用,没有证明危害,直接pass
这里为了证明秘钥是真实使用的,而不是虚假过期的,以微信小程序接口测试。
针对微信小程序,咱们需要首先获取access_token参数,然后通过添加认证参数才可以调用官方接口。
首先获取access_token,通过拼接泄露的appid和secret获取
 https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=appid&secret=appsecret
渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式
接着这里为方便测试,使用微信自带的接口测试工具进行证明
 https://developers.weixin.qq.com/apiExplorer
配置好access_token之后,咱就可以接管小程序管理权限,这里以获取小程序服务器配置域名为例,进行证明危害

渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式

同理咱们可以查看支付宝官方开发文档配置对应的小程序进行账号接管

渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式

总结

针对各种敏感秘钥泄露的利用,最实用的方式是翻阅官方文档,通过官方介绍进行测试,避免对业务造成影响,点到为止,证明危害即可。

 

原文始发于微信公众号(渗透云记):渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月23日22:51:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式https://cn-sec.com/archives/2874033.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息