朋友让测试一个投票,想着随手一测,没想到真有漏洞
web端点击就提示下载手机app,不知道他是咋检测的,就下了某日报app
既然是app,首先使用 fiddler 抓取手机流量,用电脑模拟器或者手机设置代理,将流量转发至电脑
Sniffmaster作为一款全平台抓包工具,同样支持HTTPS、TCP和UDP协议抓包,且无需代理设置即可解密HTTPS流量,方便进行渗透测试。
具体步骤
首先需要保证手机和电脑在同一个WiFi下,如果是模拟器那没事了,但是设置方法一样,以手机为例
- 在fiddler中启动代理,tools-options
选择connections,设置代理端口,我用的8888
- 手机设置中设置代理,
服务器主机名填写电脑ip
端口就是fiddler中设置的端口
然后在fiddler中就可以抓到app的流量了
就下来就是抓包分析流量,在投票的包中发现sql注入漏洞,本来想测逻辑的
POST /index.php?c=vote&do=pc&p=111100&group=0&id=60 HTTP/1.1
Host: vote2.****.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 104
Accept: application/json
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cache-Control: no-cache
Content-Type: application/x-www-form-urlencoded
Cookie: *****
Origin: http://vote2.****.com
Pragma: no-cache
Referer: ****
X-Requested-With: XMLHttpRequest
Accept-Encoding: gzip
u=3614
12345678910111213141516
这个参数u就存在sql注入,使用sqlmap可以成功注入
在cookie和referer中有一些参数没有猜出是啥
