重生第三篇之針對某醫(yī)院微信小程序的漏洞挖掘

點擊上方

關(guān)注我們

藍字

     

前言

    此篇文章主要是針對某醫(yī)院微信小程序的漏洞挖掘，微信小程序默認是直接使用自己微信登錄的，我們對小程序的漏洞挖掘，關(guān)注點還是在邏輯漏洞上面。

環(huán)境配置

工具： Burp+Charles+windows版本微信 具體環(huán)境配置如下： 安裝Charles解壓后運行軟件，安裝ssl證書到系統(tǒng)受信任的根證書下。 在微信客戶端打開要抓包的小程序，觀察Charles左側(cè)的請求 詳細操作如下圖：

然后點擊“proxy”--“windows proxy” 至此環(huán)境配置完成

漏洞挖掘過程

漏洞一： 打開微信小程序，自行綁定一張健康卡

進入“個人中心”--“掛號記錄”這里沒有數(shù)據(jù)，因為我沒有掛號--！，查看了一下數(shù)據(jù)包也沒有發(fā)現(xiàn)存在可以越權(quán)的參數(shù)

先去掛個號再回來試試，進入首頁選擇“預(yù)約掛號” ，隨便選擇一個醫(yī)師掛個號。

掛號成功之后發(fā)現(xiàn)返回一個掛號單信息，我們在burp中可以看到，請求包中有個body=參數(shù)

我們修改body=參數(shù)的值然后再發(fā)包，可以看到成功越權(quán)查詢到其他用戶的掛號信息如 下：

使用burp進行對body=參數(shù)進行爆破可以越權(quán)獲取到大量用戶的掛號信息

漏洞二：     我們進入繳費記錄模塊時發(fā)現(xiàn)了一個patientId的參數(shù)，但是修改之后發(fā)包，發(fā)現(xiàn)返回包提示沒有權(quán)限，猜測應(yīng)該之前挨過打，修復(fù)了這個參數(shù)的鑒權(quán)，因為自己沒有繳費記錄，沒法測試，這個模塊先放一下

返回首頁，進入健康體檢模塊

然后進入個人中心，看看有那些功能模塊，這是我們發(fā)現(xiàn)在burp的歷史請求包中有一個可控的參數(shù)PeisPid，但是可惜的是返回包的中的數(shù)據(jù)全是加密的，能得到的信息很少，只能性別、年齡、出生年月、民族等，然后前端就有個明文的姓名和加密一半的手機號—_—！

不管啦，先intruder梭哈一下看看PeisPid參數(shù)能不能越權(quán)，結(jié)果顯示是可以的

我們來測試一下，返回首頁，再進入個人中心的同時攔截數(shù)據(jù)包，修改數(shù)據(jù)包中的PeisPid值，然后放包，結(jié)果成功越權(quán)到其他用戶的個人信息頁面，這里可能有人會說這數(shù)據(jù)都是加密的啊，你越權(quán)了也沒用啊。額......確實是沒用，不要慌咱接著往下編...挖

注意：這里的peispid咱是可以遍歷的昂

先創(chuàng)建一個體檢訂單看看，返回首頁，選擇任意一個套餐

然后立即預(yù)約、提交訂單就會提示訂單創(chuàng)建成功，同時burp的歷史數(shù)據(jù)包中會攔截到以下兩個數(shù)據(jù)包，這個是創(chuàng)建訂單的數(shù)據(jù)包

這個是訂單詳情的數(shù)據(jù)包，可以看到這個訂單詳情的數(shù)據(jù)包里面攜帶了用戶的個人信息而且是明文的。

那問題來了，查詢條件是一串加密值，而且如果別人沒有訂單的情況下我們怎么利用這個漏洞去獲取其他用戶信息呢？

注意，咱們之前說過peispid是可以遍歷的，也就是說可以通過peispid系統(tǒng)中所有已經(jīng)注冊的用戶

以下是抽樣的結(jié)果

然后我們再看創(chuàng)建訂單的數(shù)據(jù)包，同樣是以peispid來判斷是那個用戶在創(chuàng)建訂單的，而訂單創(chuàng)建完成之后，返回包中又會攜帶查詢訂單詳情的密文值（應(yīng)該是訂單號的加密值）

這樣需要的條件就齊全了

那我們通過修改peispid值，給我們剛剛抽樣出來的用戶創(chuàng)建一個訂單試試，如下，結(jié)果顯示成功越權(quán)給其他用戶創(chuàng)建了訂單，并返回了密文值

然后通過創(chuàng)建訂單的密文值，成功查詢用戶的個人信息

漏洞三：

到這里我突然想起前面還有一個報告查詢的模塊，但是我自己的賬號沒有體檢報告記錄沒法測，那如果我們用有報告的賬號去測試是不是還能再挖點呢？

通過漏洞二獲取到了目標系統(tǒng)用戶的個人信息包含姓名、身份證號、手機號這些的，那么我們直接用戶獲取到的用戶信息去綁定健康卡，嘿，居然沒有二次認證可以直接綁，舒服

綁完卡后我們再返回首頁--點報告查詢，把查詢年份拉久一點，看看能不能查詢到用戶的一些檢查報告，嘿嘿 果然可以

隨便選擇一份報告點擊進入報告詳情頁面，然后我們在burp的分析一下數(shù)據(jù)包，數(shù)據(jù)包中的參數(shù)就倆，經(jīng)過測試發(fā)現(xiàn)是ZlhisInspectionService.5717002這參數(shù)控制查詢的

而且在返回中就可以看到用戶詳細的身份信息了如下，那我們直接對ZlhisInspectionService.57170028 參數(shù)，遍歷測試看看效果

直接上intruder梭哈

成功遍歷出大量的用戶體檢報告數(shù)據(jù)，體檢報告中又同時攜帶用戶的姓名、身份證號等敏感信息

結(jié)束

    到此本次小程序滲透就基本結(jié)束了，由于目標系統(tǒng)有waf一碰就封啦，我就沒有掃端口、掃目錄，直接挖邏輯了。