记一次对某高校微信小程序的漏洞挖掘

挖掘目标的部署在微信的资产(减少信息的收集,毕竟一般web站点没有账号密码不好进入后台,挖掘功能点少)

1.寻找目标的微信小程序(非原图)

2.招生小程序打不开,只能挖掘管理系统

进入后发现存在上报安全隐患功能,可以上传图片

3.准备上传shell

发现控制上传名字参数为name,不是filename

修改后成功上传php脚本

4.放在浏览器发现不解析,直接下载,只能尝试上传xss

存储型xss加1

5.弱口令尝试失败,但是发现为Nginx搭建的(使用Wappalyer扩展)

6.因为之前有文件上传的漏洞,又是Nginx搭建的,通过Nginx的目录穿越漏洞去尝试任意文件覆盖(为了防止这个平台崩溃,只覆盖自己进行目录穿越后的文件)

覆盖前: (看上传文件路径,为uploads下,原为日期20240312下)

覆盖后:

任意文件覆盖加1,扩大危害(可以覆盖网站配置文件导致网站崩溃,也可以覆盖登录页面的js文件来进行钓鱼)

帮助网安学习,全套资料S信领取:

① 网安学习成长路径思维导图

② 60+网安经典常用工具包

③ 100+SRC漏洞分析报告

④ 150+网安攻防实战技术电子书

⑤ 最权威CISSP 认证考试指南+题库

⑥ 超1800页CTF实战技巧手册

⑦ 最新网安大厂面试题合集(含答案)

⑧ APP客户端安全检测指南(安卓+IOS)

7.微信小程序测试完了(没有授权,不敢扩大危害获取账号密码),就去试试公众号上的服务

没有账号密码可以进入的只有这个预约系统,直接bp启动(公众号图片不是原图,原图特征太明显了)

8.进入后没有什么功能点,成功fuzz出信息

尝试userid遍历,没有反应

直接寻找get请求放在Intruder模块进行接口fuzz(/api/user/下)

成果:

creatorId对应值为身份证,敏感信息泄露加1

9.对fuzz出来的role接口进行拼接尝试

简单尝试下发现g了(没有权限)

10.峰回路转,之前测试这个没有写报告,重新测试时,接口fuzz的接口记错了,结果在上一级目录下又进行了一次fuzz(/api/下),发现

微信ak-sk加access_token

身份证等敏感信息

主要这个接口的值还是实时刷新的,信息会变(看前后idCard匹配对比)

总结:

文件上传漏洞不能解析(低危漏洞),但是碰见合适的框架漏洞(Nginx的目录穿越),就变成的高危的任意文件覆盖,测试功能点找不到接口,试试接口fuzz,一下信息全部出来,立马高危,修复建议:修复历史漏洞,加强接口鉴权。

相关推荐
.生产的驴3 小时前
SpringBoot 对接第三方登录 手机号登录 手机号验证 微信小程序登录 结合Redis SaToken
java·spring boot·redis·后端·缓存·微信小程序·maven
汤姆yu8 小时前
基于微信小程序的乡村旅游系统
微信小程序·旅游·乡村旅游
曲辒净9 小时前
微信小程序实现二维码海报保存分享功能
微信小程序·小程序
oil欧哟1 天前
🤔认真投入一个月做的小程序,能做成什么样子?有人用吗?
前端·vue.js·微信小程序
汤姆yu1 天前
基于微信小程序的消防隐患在线举报系统
微信小程序·小程序·消防隐患
郏国上1 天前
微信小程序的消息头增加的字段不能有下滑线,字段大写字母自动转换消息字母
微信小程序·小程序·
從南走到北1 天前
JAVA数字人创作文案视频链接提取数字人源码小程序+公众号+APP+H5
微信小程序·小程序·微信公众平台
FZUGO1 天前
EE308FZ_Sixth Assignment_Beta Sprint_Sprint Essay 3
java·微信小程序·sprint
V+zmm101342 天前
高校教师成果管理小程序的设计与实现springboot+论文源码调试讲解
java·微信小程序·小程序·毕业设计·ssm
蜂鸟视图fengmap2 天前
蜂鸟云平台2024年1月重大更新:JavaScript SDK v3.1.4 & 微信小程序SDK v0.9.4 亮点解析
开发语言·前端·javascript·微信小程序·ecmascript·主题编辑器·蜂鸟视图