t00ls
: https://www.t00ls.com/thread-73034-1-1.html
1. 说明
本文厚码,仅作学习使用,请勿非授权渗透。
2. 小程序反编译
首先第一步就是反编译,反编译现在的教程非常非常多,有兴趣的可以自己试试:
https://github.com/eeeeeeeeee-code/e0e1-wx
mac
上也有很多,大部分可以直接拿来用,或者稍微编译一下也可以用。
一般来说,反编译拿到的都是类似于源码,获取一些敏感的数据泄露或者是接口等。
直接将程序反编译,获取到源码:
搜索源码,暂时没有发现有啥有直接价值的东西,那就直接抓包走起。
3. 抓包分析
在抓包之后,先把用户登录上,并且授权给手机号。
3.1 漏洞1—未授权访问用户数据
登录之后抓包发现,当前通过user_id
来获取用户信息,尝试更换user_id
来获取其他的信息试试:
更换id
之后,成功获取到了其他人的用户信息:
从id
上估算,大概可以越权获取到数万的用户数据:
同样,通过遍历id
值,可以获取到其他用户的洗车数据:
3.2 漏洞2—任意文件上传
在个人的编辑资料里面,发现存在上传头像的点:
点击更换头像,尝试抓包上传:
通过流量包可以发现当前普通图片上传成功:
尝试修改上传文件名后缀试试:
访问url
地址,文件被解析,由此证明存在任意文件上传漏洞:
3.3 漏洞3-任意用户登录伪造
在登录过程中,发现存在session_key
泄露,如果结合iv
值的话,应该是可以构造任意用户登录的,在这里试下:
登录下自己的账号看下:
解密看下我的数据加密内容:
在这里找一个手机号试试,尝试使用session
来伪造别人的信息,重新构成的数据:
更换手机号之后,选择加密:
构造之后,登录成功:
点击一下其他的功能看下:
4. 总结
本次渗透过程中,通过抓包,流量包重放等,分别学习了未授权访问、任意文件上传、任意用户登录伪造漏洞,此次测试的小程序漏洞较多,危害较大。
原文始发于微信公众号(乌鸦安全):记一次简单的微信洗车小程序渗透学习
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论