本文由掌控安全学院 - kpc 投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
一、小程序资产搜集
在我们去打小程序时,重复率是非常高的,因为小程序是不需要注册的web,非常好上手,也非常好挖,所以大家基本都会去测试,那我们找到别人很难找到的资产,是不是就更容易上分了呢?微信小程序的搜索引擎对所有人来说是公平的,我们同时搜XXX大学,大概率搜到的是一样的资产,所以我们可以用其他方法搜到一些平时搜不到的资产,比如用该大学的英文,例如我们搜北京大学,就可以直接搜PKU(仅举例):
这样就会出来很多难以直接搜到的资产,也可以直接搜北大、未名、这样某个大学专有的名词,甚至是“外号”,有时就有意想不到的收获。二、逻辑越权
按照这样的搜集思路,我找到了某证书站小程序的一个偏远资产,一看就没人打过的那种,嘿嘿,直接开测。测试过后发现并没有常见的漏洞如:SQL、信息泄露、简单越权(可遍历的id越权)。但是好不容易才搜集到的资产,实在是不想放弃啊,只能再详细的测一遍了,最后在历史包中发现了一个展示自己账号信息的数据包,其中有账号、密码等,如果能越权就能获取到别人的密码那拿到中危不成问题,观察后是发现根据token鉴权的:那这时就有两个思路了,第一:这个jwt有没有使用弱密钥,如果爆破出来秘钥就有可能越权甚至是越权到管理员。第二:有没有接口能获取这些鉴权的数据。三、巧用接口文档
按照上面的思路,首先爆破了jwt的秘钥,遗憾的是字典并没有命中,大概率不是弱密钥,这个思路只能放弃。但是我们的burp插件springscan帮我们扫出来了该系统的api接口文档,可以按照思路二看一看有没有某接口可以获取到其他用的jwt,这时某个接口引起了我的注意:/online/list,字母的意思是某在线的列表,方法还是GET省的我们去构造参数,直接拼接:共返回了一万多名用户的jwt,据我猜测这个接口应该返回的是在线用户的信息,但是不知道这个开发怎么搞得,凡是登录过的用户的jwt全在里面了,直接随便获取几个,放到一开始查看个人信息的接口中,成功越权:按照这样的思路,一万多用户的密码皆可被我们获取,最后也是以高危拿下该证书:申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+靶场账号哦
分享后扫码加我!
Xray挂机刷漏洞
零基础学黑客,该怎么学?
网络安全人员必考的几本证书!
文库|内网神器cs4.0使用说明书
代码审计 | 这个CNVD证书拿的有点轻松
【精选】SRC快速入门+上分小秘籍+实战指南
点赞+在看支持一下吧~感谢看官老爷~
你的点赞是我更新的动力