郑重声明:昨天这篇文章对外发布的时候,很多人直接找到我,说泄露了小米商城的的内部bug。吓得我赶紧撤回了文章。现在解释一下,文中确实有捕获小米的流量,那是因为我们的测试机为小米手机,并非测试的是小米商城。作者也非小米员工。为了表示歉意,本篇文章发放红包,领取红包方法,见文末。
-----------------------------------
说明: 本文来自 "玄说安全” 内部成员
-----------------------------------------------------
最近对自家公司的业务app做了自查测试,发现的一个问题,以及测试过程所遇到的坑,记录下来。
1,首先在手机wifi里设置代理,将手机的流量都导入到导入到电脑的burp里。
2,先抓取涉及到目标app的流量,不出意外,流量全部做了加密(要都是明文,也就没有记录的意义了^_^).
3,一看加密流量,就很自然的接上frida,查看加密的流量内容,并尝试使用burp的插件,解密流量,尝试修改参数,再进行加密,再次提交。
启动frida服务,并设置与电脑联调。
抓取加密流量
查看对应的加密流量里解密后的信息
4,因为惯性思维,导致在这里遇到了此次测试最大的坑!想当然的以为所有的加密流量都是由app封装的,逆向了apk之后,查找所有涉及到加解密的函数,一个一个hook查看,发现这个app,一部分流量是经过了公司内部的加解密服务,可是有一部分流量,无法hook到。
无法hook到的加密流量(可能老司机们一眼就能看出来问题所在,可我这个小白,在这个困住了好久 --!)
5,经过反复查看流量的上下文,发现hook的流量是从另一个接口发出的,单独查看这几到这个接口的流量,发现这些流量是通过js加密的。。。。
使用的加密方法以及秘钥,已经明明白白的写在了js文件里了。。。。
6,按照js里写的加密方法,找了一个在线解密的网站,通过选择加密方法,填入秘钥,就可以解密出加密的数据。
https://blog.zhengxianjun.com/html/tool_crypto_aes.html
查看解密后的流量,其中一个phoneuuid得到了重点关注(关注的原因,只是因为经验所致,查越权,基本上都是重点关注这些涉及到id的参数)。
7,使用这种方法,将这个接口交互的流量都进行了查看,发现“管理收货地址”这个接口,可以查看到我先前设置好的收货地址信息。
8,修改提交参数,把phoneuuid改成另一个测试账号的id,发现可以查看到另一个账号的里设置的收货地址信息,坐实了此接口存在越权的漏洞。
(请原谅这些厚厚的马赛克。。。因为这些地址,是同事家的真实地址)
8,以上验证方法需要在3个不同的站点进行转发,效率太低了,就用Python按照js的加密方法,参考网上的代码,造了了一个轮子,可以输入明文或者密文,直接显示最终的结果。
按照phoneuuid的格式,随机制造数据,使用这个脚本做加解密转换,就可以遍历其他人的收货地址信息。
后记:
与开发同事沟通,说此phoneuuid是由后端进行aes加密生成的,apk文件里也不包含此加密的key,但通过更改id,就能查看其它信息,这点的确是存在越权的问题。
另外,还建议增加phoneuuid的长度,现在是16位的16进制字符串,但理论上,还是可以造足够大的数据来进行遍历。当然,如果权限那块做好的话,这个块应该就不存在问题了。
-----------------------------------
本文享受原创奖励 100 元。
------------------------------------
红包领取办法:转发此文,订阅号内回复“0927”
-------如果喜欢,请扫码打赏原创作者-------
----------------------------------
关注玄魂工作室--精彩不断
表示支持,点击“在看”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论