记一次微信小程序渗透测试
搜索公众号:暗网黑客可领全套网络安全渗透教程、配套攻防靶场
文章插图
前言本次小程序漏洞挖掘比较基础 , 第一次写文章 , 有不足的地方麻烦师傅们指点一下 。
正文【记一次微信小程序渗透测试】目标小程序已上线 , 但仅能申请后内部员工使用 , 是一个廉政答题小程序 。
打开小程序 , 打开burp , 尝试登录,用户未找到.....
文章插图
啊这 , 第一步就受阻 , 那就看看抓到的包吧 。
文章插图
直接访问下域名 , 发现Django debug模式开启 , 能看到所有路径 , api路径!
文章插图
访问下/api/user/,发现有/user_list/目录可以查看所有用户信息 ,。
文章插图
访问user_list目录 , burp抓包改post , 添加content-type: application/json , 返回了所有内部用户个人信息....构造个json可以翻页查看 , 一共有1200+用户 。
文章插图
通过/add_user/接口 , 构造json , 成功把自己手机号添加为内部用户 , 可以登录进入小程序 。
文章插图
delete_user/ update_user/ 等接口可以删除和更新用户信息 。 测试完后通过delete_user删除了测试账号 。 先登录进小程序看看 , 页面只有廉政答题和问卷 , 个人页面只有分数之类的信息没啥用 。 进入答题抓包发现每道题题目答案返回在响应包中......
文章插图
通过/api/question/question_list/接口发现了题库和答案 , 一共565道题目 , 还有接口可以添加删除题目
文章插图
然后在worklog , workplan等4个接口发现任意文件上传....但是不解析通过postman构造上传 , 文件路径可用worklog其它接口查看到
文章插图
文章插图
还有其它接口可以查看任何人的工作计划工作日志等.....登录验证码也可绕过验证 , 修改响应包就可成功绕过,进入小程序 。
总结这个小程序问题很多 , 也不知道为什么没有经过测试就上线了 , 但是最主要的还是Django debug模式没关 , 知道了这个小程序的所有接口路径 , 才造成了这么多问题 , 只列举了部分高中危漏洞 , 所有api接口都可以直接构造json访问.....
注:如果有哪忘记打码 , 求师傅们放过!
作者:Matrix
原文:
推荐阅读
- Satechi推出Dock5多设备充电站 一次可同时充五种设备
- 央行的“硬钱包”来势汹汹,支付不再需要手机?支付宝、微信慌了
- 微信还能这么用?让你大开眼界的微信隐藏操作
- 短短几个月,安装包从200M涨到354M,微信越来越臃肿了?
- 国家发布“铁令”,微信、支付宝始料未及,必须作出整改
- 程序员为教师妻子开发应用:将iPhone变成文档摄像头
- iOS版微信又双更新了,AirPods Pro推出牛年限定款
- 最壕“年终奖”出炉!雷军下血本:一次颁发两个百万美金技术大奖
- 飞书文档微信小程序审核被卡?字节跳动副总裁谢欣:希望腾讯停止无理由封杀
- 这次玩儿得有点大!美宣布决定!微信、苹果二选一事件“重现”?