vip業(yè)務(wù)權(quán)限漏洞挖掘入門姿勢實(shí)戰(zhàn)

現(xiàn)在很多網(wǎng)站都是通過賣VIP會(huì)員盈利的，為了讓用戶更有購買欲望，有的時(shí)候會(huì)把內(nèi)容展示一小部分，然后隱藏絕大多部分，讓你看完一點(diǎn)還想看就忍不住付錢了：），產(chǎn)品經(jīng)理的愿景是很美好的，但是開發(fā)人員的水平是參差不齊的，最終實(shí)現(xiàn)的效果可能就會(huì)有各種各樣的問題，甚至留下安全隱患。

以某考公教育網(wǎng)站為例，在做題的時(shí)候?qū)τ谝恍┟麕燑c(diǎn)評之類的是收費(fèi)內(nèi)容，不開會(huì)員的話看不到完整內(nèi)容，下圖是Chrome打開web端的答題頁面定位到完整的vip內(nèi)容的過程：

將其復(fù)制到fehelper插件格式化觀察，通過Ctrl+F用關(guān)鍵字定位到那個(gè)字段，可以看到確實(shí)是拿到了完整的內(nèi)容：

這家公司在它所屬的考公行業(yè)內(nèi)應(yīng)該能排到前三吧...所以除了web端還有Android端和iOS端，來看下其Android端，它的Android端有證書綁定，掛代理抓包就是這個(gè)樣子：

根本抓不到包的：

過證書綁定有很多種方式，這里采用肉師傅的r0capture，直接通殺證書綁定，在pixel2上啟動(dòng)這個(gè)app，然后wifi adb連接查看其包名：

開始抓包：

然后在app上去觸發(fā)查看vip內(nèi)容的請求，用wireshark打開捕捉到的.pcap包，用wireshark篩選規(guī)則只查看響應(yīng)包：

然后按照大小排序，前幾個(gè)比較大的選一個(gè)復(fù)制（因?yàn)橛蓄}目描述之類的，所以響應(yīng)體會(huì)比較大，大概率是排在前面的）：

然后還是用fehelper解碼：

得到明文的響應(yīng)體，然后還是使用fehelper將其格式化：

與Android頁面上對一下，由此石錘Android端也是存在此漏洞：

Android端與web端并不是同一個(gè)接口，猜測接口應(yīng)該只是個(gè)后端靠前的代理，調(diào)用的更后端的業(yè)務(wù)應(yīng)該是調(diào)用的同一個(gè)方法...寫那個(gè)方法的人要被祭天了...

iOS也大概率是存在此漏洞的，不過鄙人對iOS的逆向熟悉程度屬實(shí)捉急，因此不在此處石錘了。

【周度激勵(lì)】2021.7.26 ～ 2021.8.1公告

「聽火」線上內(nèi)部項(xiàng)目分享沙龍

只限對火線用戶注冊開放哦

點(diǎn)擊下方二維碼申請注冊火線吧！