![[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522095651301.png)
引入
来自于5.16提交的某edu站的漏洞,所有隐私信息均打码发布,只分享思路,
漏洞1:未授权访问
![图片[1],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240521122009428.png?imageView2/0/format/webp/q/75)
![图片[2],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522092857441.png?imageView2/0/format/webp/q/75)
填写信息
![图片[3],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522092956891.png?imageView2/0/format/webp/q/75)
之后查看申请记录
此时可得到/api/applyInfo/getListById接口
![图片[4],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522093248755.png?imageView2/0/format/webp/q/75)
构造数据包(POC在圈内)
遍历ID接口可获得大量的Openid和个人信息及身份证号
未授权访问*1
返回结果:
![图片[5],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522093822771.png?imageView2/0/format/webp/q/75)
得到身份证信息等相关信息,记录openid
以下以40209的openid为例
未授权访问*2
再次点击入校申请:
![图片[6],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522093855648.png?imageView2/0/format/webp/q/75)
得到/api/applyInfo/getListByUser接口
![图片[7],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522093931750.png?imageView2/0/format/webp/q/75)
用openid遍历/api/applyInfo/getListByUser也可未授权访问大量身份证,姓名等信息
未授权访问*2
返回结果:
![图片[8],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094042149.png?imageView2/0/format/webp/q/75)
文件上传(此洞edu不收,但可以作为一个思路)
再次点击入校申请
![图片[9],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094105645.png?imageView2/0/format/webp/q/75)
![图片[10],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094118285.png?imageView2/0/format/webp/q/75)
上传接口未对白名单进行有效鉴别
导致部分后缀如txt和js可以上传到服务器里并成功解析
![图片[11],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094216439.png?imageView2/0/format/webp/q/75)
得到接口/api/upload/fileUpload
构造数据包
Js成功上传
![图片[12],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094346754.png?imageView2/0/format/webp/q/75)
访问成功上传的js路径:
![图片[13],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094440269.png?imageView2/0/format/webp/q/75)
成功访问
成功访问
如不对相关后缀进行拦截,用户可以上传大量JS内容并成功在外部引用消耗服务器资源
构造引用接口
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<button id="shenyu">测试</button>
<script src="https://xxxxxx/1715851871562.js"></script>
</body>
</html>![图片[14],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094526246.png?imageView2/0/format/webp/q/75)
JS成功被解析
![图片[15],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094601490.png?imageView2/0/format/webp/q/75)
伪造申请
再次点击入校申请
![图片[16],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094621756.png?imageView2/0/format/webp/q/75)
填写信息
得到/api/applyInfo/subit接口
![图片[17],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522095146413.png?imageView2/0/format/webp/q/75)
进行openid替换
![图片[18],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094744401.png?imageView2/0/format/webp/q/75)
申请成功后 在/api/applyInfo/getListByUser (即未授权访问接口*2)当中查看申请结果
伪造申请成功
![图片[19],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094831730.png?imageView2/0/format/webp/q/75)
伪造取消:
![图片[20],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522094922693.png?imageView2/0/format/webp/q/75)
得到接口/api/applyInfo/cancelSubmit
![图片[21],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522095247312.png?imageView2/0/format/webp/q/75)
遍历ID可取消别人和之前不小心申请的
![图片[22],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522095426531.png?imageView2/0/format/webp/q/75)
![图片[23],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522095403893.png?imageView2/0/format/webp/q/75)
结束
最后祝大家都能挖到洞
![图片[24],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522095651301.png?imageView2/0/format/webp/q/75)
博客内容均为打码内容,而我们圈内写的报告不打码而且包含poc,更适合挖洞小白学习复现!
欢迎加入我们的圈子,每日分享一手edu,cnvd,企业src报告(挖完就分享),带你领略渗透圈,手把手教挖洞!
![图片[25],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522095711866.png?imageView2/0/format/webp/q/75)
THE END
![[LitCTF]郑州轻工业大学cha0s-Writeup,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/06/20240602034759133.png)
![[HGAME]2024 WEEK1 writeup笔记,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/02/20240201194241296.png)
![[跨年之战]昔日tryhackme国区第一与misc全栈大佬陈橘墨对打,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20231231173015620.png)
![[5.20]从抖音信息收集到微信小程序sessionkey泄露伪造登录渗透某edu站,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240520143248539.jpg)
![[SHCTF]Hacker-CTF比赛题目+WP详细解析,网络安全爱好者中心-神域博客网](https://img.godyu.com/2023/10/hack2.webp)
- 最新
- 最热
只看作者