与证书大学站的相爱相杀

1,008 阅读4分钟
0x01:前言

记一次关于edusrc中证书大学的小程序挖掘过程。

在各路大师傅惨无人道的证书站挖掘,像是我这只小菜鸡在web方面很难再摸到漏洞,内网也莫得账号,无奈只能转战小程序。

0x02:准备

夜神模拟器 6.6.1.1 Andorid5版本

Burpsuite 证书

Node+npm环境

0x03:实战

先确定一个证书站的目标,从小程序名称下的归属可以知道此小程序确实属于目标资产,同时在交互包中也可以发现是对其子域进行交互。

headImg.action?news=8be0bebc-fa32-4c66-adfd-2c58bc15567c.png

先是对其进行一波排查,发现有功能点展示但需要进行登录。爆破一波并没有发现存在弱口令用户,更换方式。

headImg.action?news=8b1726a1-cacf-435a-b934-d4376cdf6c21.png

尝试对 小程序 进行反编译(在对wxapkg文件进行获取的时候,可以先删除其目录下的所有小程序包,然后再去访问想要测试的小程序,会生成两个数据包都要拿出来),例如下图_2100734759_11.wxapkg是需要进行编译的包

headImg.action?news=dd75eaca-11c3-47fa-a4fe-8cc1feec8cd5.png

#node ../wxappUnpacker-master/wuWxapkg.js _459201295_105.wxapkg //开始编译

编译成功会获得一些源码,可以尝试找账号密码,且还可以对其进行一系列行为溯源

headImg.action?news=afc43264-0716-4e21-abe2-af19bfdaf5ec.png

在翻js的时候,翻到一个js文件,打开发现是一个修改密码的行为

headImg.action?news=a34f6b92-5788-4665-ad95-e8110d445c1d.png

发现有个不想是路径的地址,同时还指明URL,猜测可能是某个接口,尝试利用其的POST方式对其进行发包探测,后来发现不管怎么样都是返回 {success:200}

headImg.action?news=149ae4d8-abb0-4c33-bfba-45e755863b38.png

正当一筹莫展的时候,把js往下滑动,看到了用户信息加载的字样,应该也是基于接口访问获取个人信息

headImg.action?news=7d8fac51-9173-4d6d-ad3e-006d8baa9335.png

拼接访问:xxxx.edu.cn/xxxx/user/a…](p3-juejin.byteimg.com/tos-cn-i-k3…)

可以发现password的值为undefined,起先我弱智的用空密码登录admin账号,发现密码错误,又带入undefined这个字符串进行登录。。。headImg.action?news=a856a3a5-8b35-4c1c-8cfe-fa0069209b2a.png

headImg.action?news=3cf9bcb5-dc58-4263-b42a-91a22d66afc5.png

重新屡一下思路,照理来讲应该password字段应该是有密码的。回顾操作有没有可能是我上一步的POST数据的那个功能点是修改密码,毕竟我没传任何数据。

headImg.action?news=3bdf7013-4498-43a6-970b-391926073e0b.png

对上个接口进行POST传参fuzzfuzz完好几个字典发现都是没有成功修改密码。

后来想起来wxml像是一个前端页面,正好有个mpassworx.wxml,看看里面的传参值是什么,newp为新密码,confirmp是确认新密码。再对其接口进行构造修改密码

headImg.action?news=5e09262a-3f7d-4212-8443-dadd063d1684.png

传参值为md5加密之后的数据(为什么知道是md5呢,因为在个人信息返回的那个点,我对其进行了工号和学号的fuzz,发现其中用户密码都是经过md5加密的)

headImg.action?news=7a5bf1e4-e836-408c-9a04-dfee1d5b6c7b.png

发现从原来undefined,变成了我传入的md5值,成功修改密码headImg.action?news=8dd89bc7-3128-4896-a5e8-64c9d2fbf066.png

利用修改之后的账号密码,成功登陆系统

headImg.action?news=1bb49838-cbde-4ba0-abc3-8956382c4b8a.png

同时可以对会议室实验室啥的进行管理,开个门,关个门,开个空调,开个电风扇等等headImg.action?news=0432cd3b-ce09-48e7-90c5-94c7402ab6b6.png

headImg.action?news=d42a4447-633a-4d7d-98c4-6cae47ed3038.png

0x04 实战案例二:

南神永远滴神!!!

依旧还是一个证书站的小程序

headImg.action?news=0764f62a-30cc-458a-8a3b-f114e53991da.png

先用自己的手机号注册一个账号,**Tips:当用自己手机注册一个手机号的时候先会获得一个验证码可以用来注册,同时当准备利用忘记密码功能点来获取密码的时候,验证码不会再发送,后来发现注册获得的验证码可以被多次使用,也不会过期**

生成0001 - 9999的字典轻而易举的爆破出来

headImg.action?news=a0065533-e1d2-4b52-852d-f8875bf77d44.png

如何获得管理员的手机号捏~,先利用自建注册的账号,进系统内对各个功能点进行探测,发现有个数据包中带有userID值,尝试越权

headImg.action?news=b2ed20a6-d3bd-4c16-b282-abf71da66287.png

发现当访问其他userID时会提示登录超时,看到有个token验证,尝试删除再访问其他userID。发现当userID的值存在时会回显数据,没有则会返回空。

headImg.action?news=98f2e4d5-45ea-48a1-b5ee-faae472835c2.png

userID直接fuzz遍历获得linkMobile,就是其手机号。

headImg.action?news=2632352d-dfd9-4192-812c-219e409223a6.png

成功获取一些管理员用户手机,直接在忘记密码处4位纯数字爆破修改密码。

headImg.action?news=1e3e037b-7250-40fb-985e-abdb82ec5847.png

0x05:后言

涉及漏洞均已提交edusrc

网络如山勤思为径,信息似海安全作舟。

多一分网络防护技能,多一份信息安全保障。

相关实验练习

使用burp进行暴力破解 (通过该实验掌握burp的配置方法和相关模块的使用方法,对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题,以此加强网站安全。)