獲取CMS並本地安裝
X呼是一款開源的客服CMS系統,訪問官網,下載安卓版本的app和原始碼本地搭建;
發現這cms預留admin表中的使用者就不少。。。。
直接用預留的密碼解密,然後就能登入手機APP了
APP滲透
在出差模組嘗試下儲存型XSS;
發現存在XSS
繼續測試檔案上傳漏洞,上傳個shell;
分析下返回包,發現返回包裡面包含了圖片的路徑地址;
{"adddt":"2022-05-06 11:17:46","valid":1,"filename":"shell.jpg","web":"xinhu","ip":"192.168.186.1","fileext":"jpg","filesize":29818,"filesizecn":"29.12 KB","filepath":"upload\/2022-05\/06_11174720.jpg","optid":8,"optname":"\u4fe1\u547c\u5ba2\u670d","filetype":"image\/jpeg","thumbpath":"upload\/2022-05\/06_11174720_s.jpg","id":7,"picw":700,"pich":933}
通過CGI解析漏洞,發現寫入shell成功;
總結
1,APP測試和web測試本身沒有本質性的區別;
2,安卓支援的burp證書是cer格式,可以把瀏覽器中PortSwigger CA的證書匯出就是cer格式;
3,APP測試常見漏洞(邏輯漏洞 越權、密碼找回、驗證碼繞過、支付漏洞 XSS 檔案上傳) ;