来Track安全社区投稿~
千元稿费!还有保底奖励~( https://bbs.zkaq.cn)
本文涉及的相关漏洞均已修复,文章中敏感信息均已做打码处理哦!
作为一个挖洞两月半的小白,众所周知挖 WEB 还是太吃操作了,有没有简单的上分挖洞方式呢,有点兄弟有的,那肯定是微信小程序吖
这里分享一下自己的小程序搜索思路吧:
-
1. 首先肯定是微信搜索框,量大从优,但是毕竟只要是带校名的都能搜,你能找到别人也能找到 -
2. 然后就是官方的 ICP 备案查询,这个有个优点就是能查到一些并不带校名的小程序,这样别人就不能直接在微信搜索框搜到,找一些偏远资产,也就是说小程序的事业单位确实是某学校,但是该小程序的名称里没有该大学名字(这也是从其他师傅那里学来的)
附上地址:
https://beian.miit.gov.cn/#/Integrated/recordQuery
3.还有发现小蓝本也可以,也能查找学校,详细页里面的新媒体也能看到该学校的各种公众号服务号包括小程序,虽然量也很多,但是存在里面有一些老站点或者小程序已经关站的情况哦
附上地址:
https://sou.xiaolanben.com/pc
接下来就是小白实战辣,其实算运气好,没啥操作捏(给佬磕头)
首先通过 ICP 备案查询找到的某学院服务大厅
一.任意学生用户登录(勉强算是嘿嘿)
发现可直接选择学号姓名登录,只要是该校学生都可以登录
——这里小思路,关于找学校的姓名学号,其实可以直接问 AI,我一般是直接问小爱同学(很方便),都会帮你直接在网上收集然后返回噢,但是注意别直接问姓名学号,我一般都换个方式问,比如搜某个学校获奖学号等,因为学号也算是敏感信息,直接问学生姓名学号不会给你说的。如果实在没有,直接抖音小红书搜学生卡,没有办法辣!
此处用姓名学号成功登录
二.信息泄露(点击就送)
点击办事大厅——学生学籍变更申请表,包括其他几个审核功能点,注意burp历史都泄露了审核老师的敏感信息(包括姓名,身份证号,电话,邮箱)
继续点击添加审核人
输入任意数字直接暴露大量人员敏感信息(一看就没有鉴权),此处只输入2(平时看到带参数的可以试试数字/null/放空等)
按理可直接暴露全校人员敏感信息并进行登录,这里估计限制了返回长度
然后也可以重放修改name参数,也可将IdentityId改为1,换个数字又是另一批泄露
三. 管理审核人员任意登录
因为前面功能点泄露了党委书记的工号和姓名和电话
退出小程序,开启拦截重新进入
此参数直接修改
放行请求包,关闭拦截,成功登录党委书记账号
同理根据泄露信息重新登录其他管理人员的账号(全校都可)
最后感谢师傅们赏脸!
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):EDUSRC | 记一次某学院小程序的打包(附小白小程序搜索思路)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论