文章导读
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。
众亦信安,中意你啊!
点不了吃亏,点不了上当,设置星标,方能无恙!
本文是针对刚入行不久或者对网安感兴趣的的师傅们学习,挖掘的漏洞多数都是些基础漏洞,仅供参考学习。
1
bypass验证码致任意用户注册&密码修改
对app注册功能点进行测试时发现数据包有加密。
一眼尖锐的师傅们可能会发现这好像base加密,解密后发现为4层base64加密,解密后就是1234,测试输入的错误的验证码,显示注册不成功。
既然知道了加密方式,而且验证码只有4位限制,那么此时可以将0000-9999的数字通过脚本都进行4层的base编码,进行爆破。
不久后便接受到了验证码,那么此刻就可以考虑使用别人的手机号同样进行验证码的爆破,达到一个任意用户注册的效果。
那么既然有任意用户注册,是不是就可以修改任意用户的密码呢,此处可以通过信息收集或后台功能点一些积分排名等等地方找到真实使用该app用户的手机号。
修改密码后登录成功。
2
uid的越权致敏感信息泄露
这里仅引用该app的某个功能点举例说明越权。当然还有很多其它的越权方式和手法。
登录后抓包发现数据包中很明显的uid参数,那么考虑不同的uid是不是代表不同的用户,例如当前用户的uid为666666,修改uid后是否可看到其它用户数据,进而达到越权的效果。
此处找到个人信息或者一些功能点接口泄露手机号的地方,抓包修改后4位数字进行遍历,发现可以越权查看其它用户的姓名和手机号、身份证等信息。
散发思维,有了手机号是不是又可以配合前面的密码重置登录更多用户的账号。
3
并发的魅力
继续测试功能点发现有个签到功能点,点击后重复发包发现提前今天已经签到过了。
拿到数据包后考虑并发该数据包,达到重复签到获取积分的效果。
这里推荐使用burp插件:Turbo Intruder
不懂的师傅可以看这篇文章讲的很详细。
Turbo Intruder
sanshiOK,公众号:三十的安全屋必学|并发保姆级教程(Turbo Intruder)
正常每天签到一次只能获得10积分。可以看到并发签到成功,获得了300积分。
4
一眼定真的sql注入
一般在拿到系统时,sql注入的测试必不可少,这里就列举比较明显的点。
还是同样的uid参数,输入单双引号后数据包回显方式的不同。
直接上语句或sqlmap检测,目的就是证明存在即可,这里就不做过多的操作。
5
批量弱口令致管理员账号的登录
这里通过前面的越权获取到更多手机号信息后,考虑做个用户名字典,对其密码进行爆破。
这里运气也是比较好,直接获取了一个管理员发布账号,其功能权限就比一般用户多,那么测试的功能点也就会更多。
像x账号有矩阵的功能页面,可以跳转到其它的系统后台且免登录验证。
6
凑数的文件上传
登录权限高的账号后,个人一般就比较喜欢测试文件上传这种快速获取权限的方法。
将app中的链接丢到web访问发现同样有个h5端,点击我要表扬功能点上传文件。
一般这种供用户使用的系统多数都有我要建议,投诉,反馈,评论,个人头像资料上传等功能点,可以多关注这块的文件上传。
这里也是点到为止,表面我的爱国爱党之心。
碎碎念一句,一切未授权的渗透测试都是违规违法行为,一定要获得相关单位的授权及业主单位的允许且在可控范围内进行测试。
点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。
原文始发于微信公众号(众亦信安):记一次app的渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论