LK漏洞挖掘学院内部学员 -Burst师傅文章
最近觉得需要打磨打磨挖实战的能力,所以找了几个证书站点耐心地尝试一个一个数据包去观看。web端相对而言比较难挖,所以直接从小程序开始测试,主要是太菜了,又有点想搞搞证书,所以尝试从其他端开始入手,小程序或者app。友情提示:挖洞千万条,安全第一条!各位师傅们在挖掘、提交相关漏洞的过程中,必须遵守中华人民共和国相关法律法规以及相关平台相关规定!
01.某大学小程序任意文件读取
小程序比起web端来说更容易挖掘,这不刚一开始就选择从微信小程序入手,直接在搜索框搜索关键字,找到资产如下
关于怎么样抓包微信小程序在这里就不细讲了,如果各位师傅需要的话后面可以单独写一篇教程文章。
果断点开burpsuite进行抓包,在繁多的数据包中找啊找啊找啊,终于在一片花花绿绿中,我找到了我的那个她。
这段数据包有一段是经过base64编码的,原数据为:L3VzZXJmaWxlcx x x x x x x x x x x x x I0MDgvMTgyODMyMzIzODgwODk5Nzg4OC5qcGc=,原数据base64解密为:/xxxxxxx/xxxxxxx/xxxxxx/1828323238808997888.jpg
在这里呢,很明显就是通过这个接口去进行一个文件读取的,当然目前呢是从服务器上去加载图片资源来读取,那如果说我们去读取服务器上的一些敏感信息文件呢?说干就干,我直接一发任意文件读取的payload就打上去了。
base64解码后在构造内容为/x x x x x/xxxxxxx/../../../../../../../../etc/passwd,然后base64加密为L3VzZXJxxxxxxxxxxxxxxxxxx9hZC8uLi8uLi8uLi8uLi8uLi8uLi8uLi8uLi9ldGMvcGFzc3dk,并且拼接到数据包中。
芜湖~~~~ 直接起飞,收获高危漏洞一枚
02.某大学小程序sessionkey泄漏导致任意用户登录
也是某旦大学的这个小程序
打开小程序,点击允许并使用burp抓包,使用手机号授权
也是在数据包中找呀找,幸亏我火眼金睛找到一处关键字sessionkey
简直是老天爷赏饭吃啊
使用插件appletpentester,解密
修改phonenumber的手机号为13888888888,并加密
复制密文放到数据包中替换encryptedData的值,并将+号、/号和=号进行url编码,放回数据包中放包。
成功登陆,又收获了一个高危漏洞。
03.某大学小程序任意文件下载
这天刚吃完午饭,悠哉悠哉的躺着刷朋友圈,突然看到莫言哥发了一条朋友圈说新证书上线了,这我不赶紧去测一测,于是立马起身打开我的burp特战版,一切就绪,开测
入手依然是从小程序
找到某小程序,并使用burp抓包,也是用上了乱点打法,抓到的关键数据包如下
我定睛一看,在数据包中这不是有个熟悉的fileID吗,这不得好好的测一测,sql注入,xss先上一套,结果发现啥都没有,你以为这就完了吗,我灵机一动,把payload改成任意文件读取的poc,将fileId参数修改为../../../../../../etc/passwd。
哦吼,成功读取到敏感信息,起飞🛫
立马写报告提交,又一张证书到手
原文始发于微信公众号(LK安全):【学员投稿】记近期拿下若干edu证书站漏洞挖掘过程
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论