[5.16]从微信小程序越权渗透某edu站的实例

引入

来自于5.16提交的某edu站的漏洞,所有隐私信息均打码发布,只分享思路,

漏洞1:未授权访问

图片[1],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网
图片[2],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

填写信息

图片[3],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

之后查看申请记录

此时可得到/api/applyInfo/getListById接口

图片[4],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

构造数据包(POC在圈内)

遍历ID接口可获得大量的Openid和个人信息及身份证号 

未授权访问*1

返回结果:

图片[5],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

得到身份证信息等相关信息,记录openid

以下以40209的openid为例

未授权访问*2

再次点击入校申请:

图片[6],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

得到/api/applyInfo/getListByUser接口

图片[7],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

用openid遍历/api/applyInfo/getListByUser也可未授权访问大量身份证,姓名等信息

未授权访问*2

返回结果:

图片[8],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

文件上传(此洞edu不收,但可以作为一个思路)

再次点击入校申请

图片[9],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网
图片[10],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

上传接口未对白名单进行有效鉴别

导致部分后缀如txt和js可以上传到服务器里并成功解析

图片[11],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

得到接口/api/upload/fileUpload

构造数据包

Js成功上传

图片[12],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

访问成功上传的js路径:

图片[13],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

成功访问

成功访问

如不对相关后缀进行拦截,用户可以上传大量JS内容并成功在外部引用消耗服务器资源

构造引用接口

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <meta name="viewport" content="width=device-width, initial-scale=1.0">

    <title>Document</title>

</head>

<body>

    <button id="shenyu">测试</button>

    <script src="https://xxxxxx/1715851871562.js"></script>

</body>

</html>
图片[14],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

JS成功被解析

图片[15],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

伪造申请

再次点击入校申请

图片[16],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

填写信息
得到/api/applyInfo/subit接口

图片[17],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

进行openid替换

图片[18],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

申请成功后 在/api/applyInfo/getListByUser (即未授权访问接口*2)当中查看申请结果

伪造申请成功

图片[19],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

伪造取消:

图片[20],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

得到接口/api/applyInfo/cancelSubmit

图片[21],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

遍历ID可取消别人和之前不小心申请的

图片[22],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网
图片[23],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

结束

最后祝大家都能挖到洞

图片[24],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网

博客内容均为打码内容,而我们圈内写的报告不打码而且包含poc,更适合挖洞小白学习复现!

欢迎加入我们的圈子,每日分享一手edu,cnvd,企业src报告(挖完就分享),带你领略渗透圈,手把手教挖洞!

图片[25],[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网
------本文已结束,感谢您的阅读------
THE END
喜欢就支持一下吧
点赞22 分享
评论 共5条
头像
善语结善缘,恶语伤人心
提交
头像

昵称

取消
昵称常用语 夸夸
夸夸
还有吗!没看够!
表情图片
    • 头像Login Rajaspin0