服务粉丝

我们一直在努力
当前位置:首页 > 财经 >

针对小程序的漏洞挖掘

日期: 来源:黑白之道收集编辑:

0x00  前言

承接上一篇APP业务挖洞的碎碎念,此篇文章主要是针对小微信程序的漏洞挖掘,微信小程序默认是直接使用自己微信登陆的,我们对小程序的漏洞挖掘,关注点还是在逻辑漏洞上面,下面将从环境搭建到实例一步步讲解。(此篇文章更适合做安服的老哥们看)


0x01  环境配置

工具:Burp+Fiddler+windows版本微信

注: 你也可以直接用burp+windows版微信,进行抓包,如果出现网络错误,直接用Fiddler抓包然后发给burp进行测试。

关于Fidder如何抓取HTTPS数据包,如下:

这里我是直接下载的汉化版,本人英语不太好,打开Fiddler,选择工具,然后点击选项,然后在HTTPS处,勾选上捕获HTTPS链接,解密HTTPS流量,忽略服务器证书错误

选择最右侧的操作按钮,选择将根证书导出到桌面。

然后将证书导入到浏览器。

手机端的话,无线网络直接设置上Fiddler的代理地址和端口,这里我设置的9999端口,然后访问x.x.x.x:9999端口,下载证书 安装即可。

至此 Fiddler可以正常抓取http和https数据包。
关于Fiddler联动burp 抓包,配置如下图:

微信端设置代理地址

抓包测试一下,没问题,此处抓的抽奖助手的数据包


0x02 漏洞挖掘小技巧

小程序我是测过微信小程序和钉钉里面的业务模块,测试微信小程序,直接忽略掉登陆相关的漏洞,注重点还是在逻辑漏洞上。这里我就用一个实例来讲解,因为金融是比较敏感的行业,所以一些硬核漏洞,他们也会去修复,表哥们自行斟酌。


一、先说一下小程序比较常见的漏洞:
1.流程验证过漏洞(小程序里面这个漏洞特别多,我都是习惯性的先测试这个漏洞,大家可以平时在挖洞过程中,多收集一些状态返回码,以便在测试时使用)
挖掘方法:
(1)在验证下一步的时候,抓包,查看返回包里面的响应码,尝试修改响应码,进行绕过1
(2)输入验证码进入下一步时,先输入正确的验证码,查看正确的返回包,然后随便输入一个验证码,修改返回包中的状态码为正确通过时的状态,查看是否能绕过
2.任意文件上传漏洞(小程序中任何可以上传的地方,一般小程序中对文件上传功能限制较少,很容易绕过,我在挖洞的过程好几次都是通过文件上传进行getshell)
挖掘方法:
(1)任意上传图片的地方,通过burp修改文件后缀,绕过
(2)上传身份证的地方,如果是摄像头拍照那种,可以结合流程验证绕过漏洞,通过修改返回包中的状态进行绕过
3.Cors跨域访问漏洞(这个漏洞感觉没啥说的,其实就是看数据包的请求中是否含有origin字段,然后修改请求包中的origin字段的值,然后去看返回包查看Access-Control-Allow-Origin是否改变。
挖掘方法:
(1)查看请求包中的是否含有origin字段,修改oringin字段,然后查看返回包中的Access-Control-Allow-Origin是否改变
(2)也可以使用burp自带的扫描来判断
4.信息泄漏漏洞
挖掘方法:获取信息的地方,通过返回包内容来判断是否获取其他用户的信息
5.越权漏洞(平行越权)
挖掘方法:
(1)增删改查处,多注意数据包中的字段,挖掘越权漏洞,一定要细心细心再细心
(2)可以通过遍历字段的方法,来测试是否越权
6.硬核漏洞(不安全的HTTP方法)
挖掘方法:
(1)把POST请求改成OPTIONS,然后查看返回包中的Access-Control-Allow-Methods
二、附上一个实例
此处的测试目标是银行的一个小程序,小程序功能点就4个,客户信息维护、密码修改/重置、账户激活、签约类

这里我们针对这几个功能点,首先想到的就是 能不能绕过他这个验证流程呢(流程验证绕过漏洞)?
我们在身份信息验证处尝试修改返回包状态码,从而绕过验证流程。正常返回包中,因为输入错误信息,所以返回"100";

将100修改为“200” 放包,绕过此流程,进入到下一环节

当然,其他地方也可以通过修改返回包的状态码,进而绕过,其他地方的图片就不贴了,因为挖掘过程是一样的。
然后就是cors漏洞,这个没啥说的,通过修改oringin字段,然后查看返回包中的Access-Control-Allow-Origin是否改变,此处是存在这个漏洞

0x03 小结

针对小程序的渗透测试,多注意逻辑漏洞和上传漏洞,因为一般对这种漏洞的过滤较少,SQL注入这种倒是没遇到过,大家平时多收集一些响应码这种,在测试过程可以发挥到奇效,针对越权漏洞的话,多注意数据包的参数,发现类似id,uid,UserName这种字段,可以直接尝试遍历参数,关键是要细心。
作者:Zeva,转载于SecIN技术平台。


黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文


END

多一个点在看多一条小鱼干

相关阅读

  • 一周网安知识汇总 | 2023.02.22-2023.02.28

  • 一周网安知识汇总雷石安全实验室【2023.02.22-2023.02.28】本栏目内容由雷石安全实验室整理,主要分享国内外优秀文章和github优秀项目。微信链接可直接点击,外部链接需要复制
  • 威胁情报-telegram消息监控

  • 前言好久不见,今天来聊聊威胁情报-telegram消息监控一般需要监控的威胁情报来源包含以下几个方面:1、暗网论坛和交易网站2、黑客论坛3、聊天群组4、公共渠道而需要监控的内容
  • 8个简化Mac的小窍门,帮你高效工作

  • 编者按:本文介绍了 8 个简化使用 Mac 的小窍门,涉及到专注力管理、账户管理、快捷键管理、桌面管理等等,快来看看有没有适合您的技巧吧。本文来自翻译,希望对您有帮助。许多人都
  • 国信研究 | 研究周刊(03.13-03.19)

  • No.1宏观社融与M2均是观察我国广义信用派生的重要指标。一般认为,它们是一个硬币的两面,但由于出发点不同,两者的统计口径存在一定差异。这种口径差恰恰为观察我国金融市场运行
  • 推广chatgpt,日入五百+

  • 一早上起来,看了下我们的chatgpt智能聊天小程序的后台数据,有个兄弟竟然一早就五百进账了:昨天也是,看他后台有几百收益 。很多兄弟问怎么推广,其实最简单的,就是申请成为我们的经
  • 干货 |超详细安全知识框架推荐

  • 收集、归纳、分享 我认为这是知识学习的"三板斧"收集,很好理解,比如收集各种学习的资源,看过的论文、文章,和各种工具归纳,或者说是总结与分类,将自己学习过程中的心得体会
  • 实战|某次攻防的经历

  • 作者:T-VUL社区来源:https://forum.ezreal.cool/thread-29-1-1.html得到目标,先去收集一波公司的资产信息。得到公司的域名,进行子域名爆破和ip相关信息收集。得到ip 60.xx.xx.1

热门文章

  • “复活”半年后 京东拍拍二手杀入公益事业

  • 京东拍拍二手“复活”半年后,杀入公益事业,试图让企业捐的赠品、家庭闲置品变成实实在在的“爱心”。 把“闲置品”变爱心 6月12日,“益心一益·守护梦想每一步”2018年四

最新文章

  • 怪奇图鉴丨051 我讨厌当小孩儿!

  • 怪 / 配图丨你更信任谁? 怪 / 漫画丨我讨厌当小孩儿!怪 / 知识丨北约代码&信号本文素材源于各国网友&公共版权基于创作共用协议(CC-BY-NC)发布如有损到您的权益可随时联系署名
  • 无线摄像头渗透测试下

  • 昨天一时兴起搞了web层面的漏洞,于是,从app反编译下手,获取固件升级包地址,从固件分析开始搞起使用android killer查找关键字在搜索对应的名称在smali代码中得知java具体路径然
  • GPT-4:一场威胁人类生存的安全测试?

  • 一个全知全能的人工智能模型,是否能够利用自己的能力控制和操纵人类行为,利用代码武器获取资源,光速迭代和复制,一夜之间成为数字社会的统治力量?在大语言模型人工智能技术狂飙猛
  • 针对小程序的漏洞挖掘

  • 0x00 前言承接上一篇APP业务挖洞的碎碎念,此篇文章主要是针对小微信程序的漏洞挖掘,微信小程序默认是直接使用自己微信登陆的,我们对小程序的漏洞挖掘,关注点还是在逻辑漏洞上