0x00 前言
朋友委托我帮忙测一下他搭建的小程序,记录一下,从一个小程序开始挖掘,直接挖到通杀所有同类型站点的组合拳RCE,部分截图厚码请见谅.
0x01前期准备
寻找小程序目录可以通过设置-文件管理-打开文件夹-Applet目录里就是存放小程序的文件夹了.
先用Wxapkg 1.5.0工具对小程序进行反编译解包,这工具还挺方便的,能自动扫描存在的小程序,然后拿到前端的源码,里边包含了一堆Api接口.
写了个脚本自动提取小程序中的Api接口,将所有接口都导出来.
然后就是启动 Proxifier 设置好需要拦截的程序为目标小程序,这里可以通过先打开目标小程序,然后在任务管理器中的进程中找到 WeChatAppEx 然后右键打开文件位置,就能找到目标小程序所在的文件夹,之后在Proxifier中设置好代理为 127.0.0.1:8080 即可.
然后继续打开小程序,当Proxifier 中出现一堆wechatappex.exe 时,说明拦截在运行了,只需启动BurpSuite 即可抓到包,就可以开始愉快地玩耍了(Ps:这里也能抓微信浏览器里的包).
0x02 渗透测试
直接访问目标小程序后端网址发现是一处登录入口,测试过弱口令,逻辑漏洞,无果.
将所有Api接口放到BurpSuite的插件中批量Fuzz,发现大部分接口都需要在个人中心登录后访问,于是去登录了一下,不久便找到了一处可疑的地方,发现有一处地方将参数赋值为' 就会发生报错,因此判断这里很有可能存在SQL注入.
二话不说直接上Sqlmap,看看能不能一把梭,非常幸运,经典的联合注入+时间盲注,貌似没装任何的Waf,看看能不能直接跑出管理员账户密码.
可以跑出管理员的账号密码,拿去Cmd5解密,发现是一条付费记录,起飞,直接找人去解开这md5.
成功登录进后台,开始挨个测试哪里可以上传文件,发现后台所有功能点都只能传图片文件,不能突破后缀.
后台的接口比小程序前端的接口多了十数倍,遂打开经典的SuperSearchPlusTools,开始寻找能利用的接口,sql注入已经不需要了,只需要找上传的接口,花了挺久的时间寻找.
终于在一处十分隐蔽的接口处,找到了上传文件的地方,这里通过base64编码图片后直接上传文件,并且没有对文件名进行过滤,导致能直接传,起飞!
直接连接蚁剑上去拖裤一把梭(bushi),后续将该系统漏洞报告打包发给朋友,拿到指纹后发现该系统使用量还真不少,fofa就能查到1.6w条记录,算是小小通杀咯
原文始发于微信公众号(星悦安全):记一次小程序渗透测试到通杀RCE(0day)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论