扫码领资料

获网安教程

本文由掌控安全学院 -   洛川 投稿

来Track安全社区投稿~  

千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

声明：本文所有漏洞已提交修复了

一、敏感信息泄露

来到某学校电费充值公众号

img

打开购电小程序

img

这里需要输入姓名和学号，直接搜索引擎搜索即可得到，这就不用多说了，但是这里的手机号可以任意输入，只要用户没有绑定手机号

这里我们输入自己的手机号抓包直接进去

在进入的过程中发现一个很有意思的包

img

前端js中竟然泄露了debug模式的密码，当时试了一下确实登录进了debug模式，但是忘截图了，这妥妥一枚中危敏感信息泄露了

继续挖掘

二、垂直越权

登录过程中发现这个数据包

通过roleid和type来鉴权，一开始的roleid为4，type为学生端，我们直接修改为6到教师端

img

成功返回教师端的功能，我们直接修改后续返回包即可登录教师端，但是这里之后点击的每一个包都需要修改数据包，有点麻烦

三、多个敏感信息泄露

从下图数据包中可以看到通过getPersonInfo功能点的accountNo参数可以获取学生的敏感数据包括代表个人身份的PersonUUID和UserId和手机号，WxopenId和账号密码等敏感信息

img

既然这样直接遍历accountNo参数就可以获取全校学生的敏感数据了

img

又找到个查询一卡通信息的接口

img

同样可以遍历获取全校学生一卡通账号和余额信息，虽然危害不大，但也是一枚越权导致的敏感信息泄露

继续测试，发现一接口，需要配合第一个数据包获取的PersonUUID使用

img

虽然我获取的用户没有填这些信息，但是这个功能点的泄露可以看出危害多大，具详细的敏感信息，只要配合第一个遍历获取到的PersonUUID和accountNo配合遍历即可获取全校学生信息，一枚高危到手

最后上正文

严重支付逻辑漏洞

登录进来后点击电费充值

img

img

选好需要充值的宿舍之后电脑开始抓包，点击充值抓到如下数据包

img

发现这个包为校验包，用来校验订单金额，改了这个包后续就做不了事了，直接放掉得到下一个包

img

这个包就是调用微信支付api进行订单支付的数据包了，直接修改totalfee参数即可

img

这里还存在一个知识点，就是调用支付只能手机上支付，电脑无法进行支付，所以我们需要抓取手机上的包才能进行后续操作

这里教大家一个简单的方法，让你的好朋友给你开个热点，然后你电脑连上他的热点，查看获取到的ip，然后在burp里添加获取的ip进行代理，端口随意

然后在手机上也连上热点，然后给手机添加代理

img

填写刚刚添加的ip和端口保存即可抓取手机数据包了

img

最后也是一分钱支付，到账一开始充值的五块钱，也就是说可以一分钱到账任意数额的电费

漏洞危害大，利用难度低，直接给了个严重，还收到了学校的感谢信

img

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，
所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

原文始发于微信公众号（掌控安全EDU）：edu小程序挖掘严重支付逻辑漏洞