1、某 APP 渗透测试Author:村长Email:Blog:比较详细,大牛轻喷。0x001.下载 app 安装了之后,挂个代理。分析之后,这个 app 是 浏览器+ html 模式。说白了wap 网站,采用全站 api,所以的请求貌似都通过用户访问的服务器中转请求 api 服务器,拿到数据再返回给中转服务器,中转服务器再返回给客户端。其中采取了 token 校验数据是否来源于中转服务器,比较无语。1 上个 bugscan 开始扫。2 然后我就去收集一些 whois 信息什么的。运气比较好。在主站扫到个源码包泄露,但是并没有发现什么配置文件。看到 bin 目录中存在 dll 文件,接下来请出了
2、reflector 进行反编译。初步最好通过名字找到一些数据库的配置信息(有可能直接写在 dll 里面)看到一个 Common 文件,发现 4 个比较有用的信息点:第一个:是个 dbhelper 类可以看到是从配置文件读取过来的。但是泄露的源码包里面并没有配置文件。 这条路走不通第二个:发现一个 emailservice 类。 通常邮件服务器 能发现很多有用的信息。是个腾讯的企业邮箱。但是里面也没有发现太多有用的信息第四个信息:后台某个地方 token 加密过于简单采用 uid+“string” md5 加密形式绕过了后台,后台有一些搜索框框什么的,但是发现这些功能都用不了,0x002.采取新
3、思路,既然是后台某个模块的一个功能,不如打入 xss,简单拿下管理 cookies并且后台管理路径,晚上 6 点左右打的,吃完饭,收到信息,这个后台是个独立的域名,这个时候我们获得一个信息,就是说我们绕过的这个页面 可以理解为一个“组件“ ,也许同时嵌套在 app 管理员 的页面, 和 pc 端的后台 功能页面。进入后台系统,无语的发现了 httponly,而且不能暴力破解,错五次就锁定账户,都不是锁定 ip。又让我无语了一次。看样子应该是 DWZ 后台的框架。能简单就简单,于是乎可以尝试 钓鱼了。注意 2 个点,第一个:这个是不同域,前面已经提到了这个功能是个“组件“ 所以我们要判断是否来自于后台那个域名过来的,在图片画圈处。然后设置一个 base 标签。因为应用的资源来自于另外的域名。最后在自己服务器,用 php 写个接收代码 利用对面暴露的短信接口。打到账户密码就发送短信到我手机上面。卡哇伊。
