项目任务
针对公众号的每个功能点做渗透
大致看了一下,差点吐了,好多功能点
没办法,硬着头皮上,小漏洞还真的多,报告写到吐,这里分享其中几个代表性的。
抓包
wechat抓包
我是用的是PC版的wechat,直接打开微信自带的浏览器
复制地址到火狐里面
抓包分析
有点尴尬,应该做了简单的防护
火狐抓包
火狐F12,点击图中的手机按钮
填写自定义的User-Agent
Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_4 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13G35 QQ/6.5.3.410 V1_IPH_SQ_6.5.3_1_APP_A Pixel/750 Core/UIWebView NetType/2G Mem/117
还是非法访问,有点奇怪。
换个方法
打开夜神模拟器,登陆微信,然后抓包,用如下User-Agent
Mozilla/5.0 (Linux; Android 4.4.2; HUAWEI MLA-AL10 Build/HUAWEIMLA-AL10; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/53.0.2785.143 Crosswalk/24.53.595.0 XWEB/112 MMWEBSDK/180803 Mobile Safari/537.36 MMWEBID/8266 MicroMessenger/6.7.3.1360(0x260703B3) NetType/WIFI Language/zh_CN Process/tools
终于成功了
发现漏洞
短信炸弹
这个短信炸弹覆盖全部短信接口,因为它只对单个接口进行了次数限制,而他的发送包是这样的
/xxx.do?code=wx02&wxCustMobileNo=13888888888
code参数wx02支持01-50,相当于有几十个短信接口给我们进行短信炸弹的攻击
用户名枚举
当时因为客户内部原因,没有给我对应的测试账号,所以我测的很尴尬,直到我遇到了这个接口
这里是通过绑定身份证的操作,输入验证码之后查询绑定状态
虽然有验证码,但是我抓包不放开,就可以使验证码一直不失效
419即为存在的身份证
越权查询
后面我又找到一个接口,可以通过身份证查到卡号,有了上面的枚举,我通过存在的身份证号码,查到了卡号
这种测功能点的渗透很无聊,每个接口挨个试,在这次渗透中,我发现,开发因为公司有WAF有非常强大的外部防护措施之后,他们往往对 XSS ,注入等过滤不严,本来应该可以找到很多问题,但是因为该公众号都是调用代理的方式,且是第三方查询,所以我很难受,也很尴尬,还好有其他人一起渗透,估计大家都差不多。
网友评论