挖掘目標的部署在微信的資產(減少資訊的收集,畢竟一般web站點沒有賬號密碼不好進入後臺,挖掘功能點少)
1.尋找目標的微信小程式(非原圖)
2.招生小程式打不開,只能挖掘管理系統
進入後發現存在上報安全隱患功能,可以上傳圖片
3.準備上傳shell
發現控制上傳名字引數為name,不是filename
修改後成功上傳php指令碼
4.放在瀏覽器發現不解析,直接下載,只能嘗試上傳xss
儲存型xss加1
5.弱口令嘗試失敗,但是發現為Nginx搭建的(使用Wappalyer擴充套件)
6.因為之前有檔案上傳的漏洞,又是Nginx搭建的,透過Nginx的目錄穿越漏洞去嘗試任意檔案覆蓋(為了防止這個平臺崩潰,只覆蓋自己進行目錄穿越後的檔案)
覆蓋前: (看上傳檔案路徑,為uploads下,原為日期20240312下)
覆蓋後:
任意檔案覆蓋加1,擴大危害(可以覆蓋網站配置檔案導致網站崩潰,也可以覆蓋登入頁面的js檔案來進行釣魚)
【----幫助網安學習,以下所有學習資料免費領!加vx:dctintin,備註 “部落格園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
7.微信小程式測試完了(沒有授權,不敢擴大危害獲取賬號密碼),就去試試公眾號上的服務
沒有賬號密碼可以進入的只有這個預約系統,直接bp啟動(公眾號圖片不是原圖,原圖特徵太明顯了)
8.進入後沒有什麼功能點,成功fuzz出資訊
嘗試userid遍歷,沒有反應
直接尋找get請求放在Intruder模組進行介面fuzz(/api/user/下)
成果:
creatorId對應值為身份證,敏感資訊洩露加1
9.對fuzz出來的role介面進行拼接嘗試
簡單嘗試下發現g了(沒有許可權)
10.峰迴路轉,之前測試這個沒有寫報告,重新測試時,介面fuzz的介面記錯了,結果在上一級目錄下又進行了一次fuzz(/api/下),發現
微信ak-sk加access_token
身份證等敏感資訊
主要這個介面的值還是實時重新整理的,資訊會變(看前後idCard匹配對比)
總結:
檔案上傳漏洞不能解析(低危漏洞),但是碰見合適的框架漏洞(Nginx的目錄穿越),就變成的高危的任意檔案覆蓋,測試功能點找不到介面,試試介面fuzz,一下資訊全部出來,立馬高危,修復建議:修復歷史漏洞,加強介面鑑權。
更多網安技能的線上實操練習,請點選這裡>>