最近也是在云山师傅的建议下,开始把最近捡漏挖的几个证书站漏洞的过程发一下
都没啥太高的技术性可言,大佬们喷轻点
但是最重要的也是给刚开始挖洞的小伙伴们提供一个小小的思路
先进这个小程序看一眼
当头一棒,需要账号才可以进入,还不给注册
去查了一下这个账号是内部账号,我们也得不到账号
部分小伙伴是不是到这一步就放弃了,但其实不然
这时候我们就可以试试反编译,看看小程序源码有什么可以利用的点
这边推荐一个工具
公众号后台回复【小程序逆向】获取
使用工具直接命令行运行wxapkg.exe scan
运行后会读取你缓存过的小程序,界面也是非常好看
可以选择自己的想要反编译的小程序然后回车即可
把反编译后的源码丢到vscode中,就可以开始审计源码了
我个人一般是先全局搜索password、key等字符
看看是否有遗留的账号密码,key之类的敏感内容
但是搜了一圈并没有什么
那只能看是否有什么接口了
还真找到个奇怪的接口
需要4个参数,这个id参数应该是可以进行遍历的,用户可以控制
那剩下3个参数该怎么凑齐呢
找半天,最后竟然发现小程序的点开时获取用户信息的请求自带这3个参数
我直接好家伙,接着就可以开始构造接口需要的参数了
有东西返回了,一看好像是什么成绩,有姓名等等敏感信息
虽说可以遍历id查看所有成绩,但是感觉危害还是不怎么够啊
于是看到返回内容中有个filename,是一个jpg文件名
文件名都给了,要是可以未授权访问这个jpg文件那岂不是妥了
先猜了一下目录,果不其然没猜到在哪,只能去源码内找了
功夫不负有心人,还真找到了
需要的参数还是熟悉的那3个,多了个f参数,再把文件名放到f参数中
构造好后访问,直接成功了
但是图片内容就不截图了,太敏感了懂得都懂
下班下班!!
由于传播、利用本公众号NGC660安全实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号NGC600安全实验室及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
原文始发于微信公众号(NGC660安全实验室):【惊爆内幕】小程序挖洞竟如此简单,快来学习最新技巧,免费分享!
