扫码领资料
获网安教程
本文由掌控安全学院 - 洛川 投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
声明:本文所有漏洞已提交修复了
一、敏感信息泄露
来到某学校电费充值公众号
img
打开购电小程序
img
这里需要输入姓名和学号,直接搜索引擎搜索即可得到,这就不用多说了,但是这里的手机号可以任意输入,只要用户没有绑定手机号
这里我们输入自己的手机号抓包直接进去
在进入的过程中发现一个很有意思的包
img
前端js中竟然泄露了debug模式的密码,当时试了一下确实登录进了debug模式,但是忘截图了,这妥妥一枚中危敏感信息泄露了
继续挖掘
二、垂直越权
登录过程中发现这个数据包
img
通过roleid和type来鉴权,一开始的roleid为4,type为学生端,我们直接修改为6到教师端
img
成功返回教师端的功能,我们直接修改后续返回包即可登录教师端,但是这里之后点击的每一个包都需要修改数据包,有点麻烦
三、多个敏感信息泄露
从下图数据包中可以看到通过getPersonInfo功能点的accountNo参数可以获取学生的敏感数据包括代表个人身份的PersonUUID和UserId和手机号,WxopenId和账号密码等敏感信息
img
既然这样直接遍历accountNo参数就可以获取全校学生的敏感数据了
img
又找到个查询一卡通信息的接口
img
同样可以遍历获取全校学生一卡通账号和余额信息,虽然危害不大,但也是一枚越权导致的敏感信息泄露
继续测试,发现一接口,需要配合第一个数据包获取的PersonUUID使用
img
虽然我获取的用户没有填这些信息,但是这个功能点的泄露可以看出危害多大,具详细的敏感信息,只要配合第一个遍历获取到的PersonUUID和accountNo配合遍历即可获取全校学生信息,一枚高危到手
最后上正文
严重支付逻辑漏洞
登录进来后点击电费充值
img
img
选好需要充值的宿舍之后电脑开始抓包,点击充值抓到如下数据包
img
发现这个包为校验包,用来校验订单金额,改了这个包后续就做不了事了,直接放掉得到下一个包
img
这个包就是调用微信支付api进行订单支付的数据包了,直接修改totalfee参数即可
img
这里还存在一个知识点,就是调用支付只能手机上支付,电脑无法进行支付,所以我们需要抓取手机上的包才能进行后续操作
这里教大家一个简单的方法,让你的好朋友给你开个热点,然后你电脑连上他的热点,查看获取到的ip,然后在burp里添加获取的ip进行代理,端口随意
然后在手机上也连上热点,然后给手机添加代理
img
填写刚刚添加的ip和端口保存即可抓取手机数据包了
img
最后也是一分钱支付,到账一开始充值的五块钱,也就是说可以一分钱到账任意数额的电费
漏洞危害大,利用难度低,直接给了个严重,还收到了学校的感谢信
img
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):edu小程序挖掘严重支付逻辑漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论