记一次简单的src挖掘
Alpaca 发表于 四川 历史精选 10427浏览 · 2022-10-13 15:16

一.起

开局一个登录框,简单测试了几个弱口令无果后

注意力转到找回密码处

先输入两个非法的参数

点击获取验证码,抓包,查看响应代码返回0,前端显示未查询到账户信息

再来一次,抓包并修改响应包,将0改为1,放包后成功来到第二步,前端自动请求了一个后端接口发送验证码

查看该接口的响应,发现验证码作为响应体被返回了

填入验证码,直接跳转到第三步修改新密码,填入新密码后,点击提交

发现请求体里只有userIds和password两个参数,前者是要修改密码用户的uid,后者是新密码的值,猜测这里可能存在任意账户密码重置,而后又意识到我们传入的用户不存在,所以前端存储的userid变量为0,于是我们将请求包中userIds字段修改为1,尝试重置管理员密码。
后端响应为1,证明密码重置成功了,走到这里只觉喜出望外,赶紧拿着新密码去登录管理员账户

结果

想不通,难道是管理员的账户名不是admin?接连试了几个常见管理员用户名都失败后,想到还有个注册点,兴许可以爆破出管理员账号呢?
结果还是不行:

二.承

无奈,此路不通另寻他路,注意到有个APP下载的二维码,解析之,而后下载到apk

用工具快速扫描一下,发现两个移动端的接口地址有点不同寻常

访问之,好家伙,竟然返回了所有用户的uid和电话号码

三.转

惊喜之余突然回过神来,马上到接口中去检索uid为1的用户

结果证明uid=1的用户不是管理员权限,而是一个普普通通的员工id,之前由于太过笃定管理员的uid就是1,导致我们在这个点上浪费了太多时间。

四.合

随后也是通过这个未授权的接口找到了管理员的id

但是为了不对业务系统造成严重破坏,我们仅重置了一个普通用户的密码,随后成功登录以验证漏洞的存在:

15 条评论
某人
表情
可输入 255
NCNIPC梅苑
2022-12-24 07:10 河北 0 回复

@隔*i 是的需要先hook脱壳


NCNIPC梅苑
2022-12-24 07:09 河北 0 回复

AppInfoScanner


1006228759002719
2022-11-13 13:40 0 回复

学习了,谢谢师傅


隔*i
2022-11-01 06:45 福建 0 回复

师傅 app加固有壳的话 app扫描工具就没法用了吧


小灰灰
2022-10-31 00:37 广东 0 回复

学习了奇怪的姿势


篮球小辣鸡
2022-10-27 07:41 江西 0 回复

mark


吹气球吹个大气球
2022-10-26 13:11 重庆 0 回复

Mark 学习了 thanks


153221****@qq.co
2022-10-17 07:58 0 回复

楼主的移动端接口字典方便共享一份吗,一直缺这一块


Alpaca
2022-10-15 07:29 四川 0 回复

@Met32 可以的 师傅


Met32
2022-10-15 01:54 0 回复

师傅,本篇文章可以转载到公众号吗,会标明原著作者和链接


1002201151057044
2022-10-14 10:01 江西 0 回复

楼主,这个扫描app接口的工具是什么额


tsunamori
2022-10-14 09:47 0 回复

请问扫描APK接口的工具是?


wocean123
2022-10-14 08:44 北京 0 回复

能问下楼主扫apk的工具是什么吗?


hyyrent
2022-10-14 08:25 上海 0 回复

师傅 想问一下 app接口扫描的工具链接有吗


目录