如何日进后台系统

昨天前往客户现场开展安全服务项目，按计划需每月对资产表进行一次渗透测试。

本以为此次资产情况会与往期完全一致，未曾想抵达后刚着手探测存活资产，便发现本次可访问的资产数量较上次大幅增加 —— 许多此前无法打开的资产如今均处于活跃状态，更有两个全新资产首次进入视野。

我们决定将这两处新资产的测试放在最后环节，期待能从中发现关键安全隐患。

渗透到了一大半的时候，发现之前打不开的网站竟然都没漏洞，只有寥寥无几的未授权。

于是，迅速结束其他的资产渗透工作，然后专心对新增的资产进行测试。

资产是一个小程序和一个域名，以及小程序对应的接口地址。

小程序打开后显示在后台页面，但是点不动按钮，猜测可能是需要登录。

点击退出，则返回到了登录页面

我本以为点击授权手机号就能登录，结果发现这需要内部用户才可以，不对外开放注册。

尝试通过爆破手机号的方式突破验证，我翻开密码本逐一尝试，系统却连续返回 “用户不存在” 的提示，显然这条路径难以奏效。

转而思考小程序的访问逻辑：默认进入的后台页面需权限验证，于是尝试使用 Burp Suite 拦截页面请求，排查是否存在未授权可访问的敏感信息。

这俩工具组合可以抓小程序的包

auv～，您猜怎么着，找到了操作手册

既然有了手机号，又存在用户名枚举，那直接尝试爆破手机号

还真出现了，并且返回对应的 token，那岂不是美滋滋。

使用密码登录

6

紧接着，我灵机一动：既然系统提供了 token，或许可以尝试通过它直接绕过登录验证。

我迅速展开操作，先输入手机号和任意密码发起登录请求，随后利用抓包工具捕获请求数据包。接下来，打算对返回包进行修改，看看能否实现绕过登录的目的。

发包，go go go，低危漏洞秒变高危。

关于这个事，我简单说两句，你明白就行，总而言之，这个事呢，现在就是这个情况，具体的呢，大家也都看得到，也得出来说那么几句，可能，你听的不是很明白，但是意思就是那么个意思，不知道的你也不用去猜，这种事情见得多了，我只想说懂得都懂，不懂的我也不多解释，毕竟自己知道就好，细细品吧。你们也别来问我怎么了，利益牵扯太大，说了对你我都没好处，当不知道就行了，其余的我只能说这里面水很深，牵扯到很多东西。

原文始发于微信公众号（迪哥讲事）：如何日进后台系统