记一次简单的微信洗车小程序渗透学习

admin 2025年1月14日08:37:32评论28 views字数 871阅读2分54秒阅读模式
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!

本文首发t00ls: https://www.t00ls.com/thread-73034-1-1.html

1. 说明

本文厚码,仅作学习使用,请勿非授权渗透。

记一次简单的微信洗车小程序渗透学习

2. 小程序反编译

首先第一步就是反编译,反编译现在的教程非常非常多,有兴趣的可以自己试试:

https://github.com/eeeeeeeeee-code/e0e1-wx

mac上也有很多,大部分可以直接拿来用,或者稍微编译一下也可以用。

一般来说,反编译拿到的都是类似于源码,获取一些敏感的数据泄露或者是接口等。

直接将程序反编译,获取到源码:

记一次简单的微信洗车小程序渗透学习

搜索源码,暂时没有发现有啥有直接价值的东西,那就直接抓包走起。

3. 抓包分析

在抓包之后,先把用户登录上,并且授权给手机号。

记一次简单的微信洗车小程序渗透学习

3.1 漏洞1—未授权访问用户数据

登录之后抓包发现,当前通过user_id来获取用户信息,尝试更换user_id来获取其他的信息试试:

记一次简单的微信洗车小程序渗透学习

更换id之后,成功获取到了其他人的用户信息:

记一次简单的微信洗车小程序渗透学习

id上估算,大概可以越权获取到数万的用户数据:

记一次简单的微信洗车小程序渗透学习

同样,通过遍历id值,可以获取到其他用户的洗车数据:

记一次简单的微信洗车小程序渗透学习

3.2 漏洞2—任意文件上传

在个人的编辑资料里面,发现存在上传头像的点:

记一次简单的微信洗车小程序渗透学习

点击更换头像,尝试抓包上传:

记一次简单的微信洗车小程序渗透学习

通过流量包可以发现当前普通图片上传成功:

记一次简单的微信洗车小程序渗透学习

尝试修改上传文件名后缀试试:

记一次简单的微信洗车小程序渗透学习

访问url地址,文件被解析,由此证明存在任意文件上传漏洞:

记一次简单的微信洗车小程序渗透学习

3.3 漏洞3-任意用户登录伪造

在登录过程中,发现存在session_key泄露,如果结合iv值的话,应该是可以构造任意用户登录的,在这里试下:

记一次简单的微信洗车小程序渗透学习

登录下自己的账号看下:

记一次简单的微信洗车小程序渗透学习

解密看下我的数据加密内容:

记一次简单的微信洗车小程序渗透学习

在这里找一个手机号试试,尝试使用session来伪造别人的信息,重新构成的数据:

更换手机号之后,选择加密:

记一次简单的微信洗车小程序渗透学习

构造之后,登录成功:

记一次简单的微信洗车小程序渗透学习

点击一下其他的功能看下:

记一次简单的微信洗车小程序渗透学习

记一次简单的微信洗车小程序渗透学习

4. 总结

本次渗透过程中,通过抓包,流量包重放等,分别学习了未授权访问、任意文件上传、任意用户登录伪造漏洞,此次测试的小程序漏洞较多,危害较大。

 

原文始发于微信公众号(乌鸦安全):记一次简单的微信洗车小程序渗透学习

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月14日08:37:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次简单的微信洗车小程序渗透学习http://cn-sec.com/archives/3625055.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息