【實(shí)戰(zhàn)】一次對(duì)某澀情 app 的滲透

以下內(nèi)容來(lái)自公眾號(hào)逆鋒起筆，關(guān)注每日干貨及時(shí)送達(dá)

作者：多吃點(diǎn)才可愛

來(lái)源：http://r6d.cn/VRhr

前言:

---

某個(gè)星期六的晚上，我還在挖 edusrc ，剛 getshell 內(nèi)網(wǎng)漫游完（純屬放屁哈哈哈）準(zhǔn)備下機(jī)睡覺，修君表哥給我發(fā)了某站（表哥們懂的，瘋狂暗示），

我打開一看，WC好東西，不滲透一波怎么能對(duì)得起它呢？

背景:

找到某app的界面：

咳咳，表哥們別想太多哈，本人純情小處男，啥都不知道啥都不懂

看了看功能點(diǎn)，有一個(gè)注冊(cè)的地方，但是注冊(cè)的時(shí)候居然要邀請(qǐng)碼！！！

真的很沒意思，一點(diǎn)互聯(lián)網(wǎng)資源共享精神都沒，這就很過分了，這么好的東西怎么能吃獨(dú)食？？

必須安排一波

過程：

看了看功能點(diǎn)，有一個(gè)注冊(cè)的地方，但是注冊(cè)的時(shí)候居然要邀請(qǐng)碼！！！

真的很沒意思，一點(diǎn)互聯(lián)網(wǎng)資源共享精神都沒，這就很過分了，這么好的東西怎么能吃獨(dú)食？？

必須安排一波，沒辦法，看著到手的資源就要飛了，于心不忍啊，

于是將app放到虛擬機(jī)，通過抓包拿到其真實(shí)域名

然后利用bp的爬蟲爬到一處api接口

提示參數(shù)缺失 fuzz一波參數(shù)

fuzz.jpg (自行腦部bp fuzz圖 忘了截圖了)

http://www.xxxxxxx.cn/api/index/tab3?p=1&t=3&v=0&s=0

然后就是一波中獎(jiǎng)

但是不是DBA 也無(wú)法寫文件 數(shù)據(jù)庫(kù)實(shí)在太亂了 懶得一個(gè)一個(gè)的讀

目前后臺(tái)地址也還沒找到 而且這個(gè)站及其的卡 思路完全亂了，，

想著先利用注入搞一個(gè)賬號(hào)出來(lái) 然后登錄該app，，看看app內(nèi)有無(wú)什么可利用的

但是除了一處留言反饋準(zhǔn)備測(cè)試xss之外，就是各種誘惑。。。。

留言框只允許中文以及中文符號(hào)，但是卻是使用js進(jìn)行驗(yàn)證，抓包即可繞過

對(duì)著該處留言框就是一頓亂插

中途等了大概10分鐘 就當(dāng)我以為要失敗的時(shí)候

果然，，菜逼運(yùn)氣好==

拿到后臺(tái)登錄地址 雖然沒有cookie 但是利用注入點(diǎn)讀出了后臺(tái)賬號(hào)密碼

最后登陸后臺(tái)

看了看后臺(tái)，app總用戶達(dá)到1w+…一天用戶增加500+

翻了下后臺(tái)的功能，，發(fā)現(xiàn)一處圖片上傳，而且似乎是js驗(yàn)證的圖片類型

但是在實(shí)際上傳中 各種失敗，應(yīng)該是前臺(tái)js驗(yàn)證+后端功能讓所有上傳的文件強(qiáng)制改名為.jpg

接下來(lái)的事就比較好玩了，雖然拿到了后臺(tái)，但是沒法突破，沒卵用

于是我添加了后臺(tái)留的一個(gè)QQ號(hào)

對(duì)方秒通過，經(jīng)過簡(jiǎn)單的交流，發(fā)現(xiàn)他是這套程序的二開作者，售賣給別人被別人用來(lái)當(dāng)作淫穢視頻傳播盈利網(wǎng)站了。

于是我就將計(jì)就計(jì)，先唬住他（我攤牌了，我是演員）

這個(gè)地方 hw 和授權(quán)書只是我騙他的==

各位表哥看著爽就行

甚至他把他的網(wǎng)站后臺(tái)賬號(hào)密碼都給我了。。。

tips:以上內(nèi)容都是瞎編的，大佬們不要當(dāng)真！

通過他提供的部分上傳驗(yàn)證源碼，發(fā)現(xiàn)是后段對(duì)上傳文件強(qiáng)制改名了，我人都傻了，大佬們有繞過思路可以在下方評(píng)論

最后還是沒拿到shell等等，，也就是只止步于后臺(tái)了。

一方面是這個(gè)后臺(tái)實(shí)在太雞兒卡了，動(dòng)不動(dòng)無(wú)法響應(yīng)

另一方面就是漏洞利用手法沒有全面利用，導(dǎo)致忽略了很多getshell的姿勢(shì)，還是太菜了嗚嗚嗚，表哥們輕噴。

MySQL 為啥不能用 uuid 做主鍵？

微信上線新功能！網(wǎng)友：太智能了

IDEA 完美支持多人遠(yuǎn)程編程！

低代碼平臺(tái)都是誰(shuí)在使用？

JetBrains 推出下一代開發(fā)神器，實(shí)力驚人