在一次渗透测试中发现小程序存在几个高危漏洞请看我娓娓道来。挖洞要信奉一句话功能越多漏洞越多尤其是这种小程序功能太多了经常被打成筛子。通过Hae插件在历史数据包中发现疑似存在AKSK泄露。Ok昂~开局捡个aksk验证过第一个aksk是阿里云的可以接管。第二个aksk是火山云的但是存在一些权限问题没利用成功。阿里云的成功接管并且可以获取大量图片数据和其他静态资源。登录一波小程序接着查看下个人信息看有无id参数越权查询。查看数据包只有JWT认证那就只能测一下JWT相关漏洞~简单介绍下JWTJWT(JSON Web Token)的结构由三部分组成分别是Header、Payload和Signature。Header字段包含了JWT使用的算法和类型等元数据信息Payload字段包含了JWT的主要信息Signature字段是使用指定算法对Header和Payload进行签名生成的用于验证JWT的完整性和真实性。接着来解密下JWT发现Payload字段有一个username参数有越权的可能性。但还需要解决JWT签名检验问题不然改了Payload也无意义。这里我用了Tscan里面的JwtCrack进行JWT漏洞扫描发现存在alg为none的JWT漏洞这还说啥我勒个豆签名都不用了那也就不用去JWT密钥爆破了。“alg字段设为None”则标识不签名接下来就好办直接改username参数并且alg设为none把username参数修改成受害者的看看能否越权。替换篡改了受害者的JWT直接越权查询其他人的个人信息。点击地址管理替换JWT也能越权查询其他人的地址信息。同理其他功能点通过JWT进行鉴权的都可以越权查询。查询订单处其他危害比较小的越权就不放出来了~。该站点实际后端直接都不校验签名。还有其他JWT漏扫工具但是还是比较推荐无影Tscanplus插件还捡了个Actuator端点泄露其中泄露了ENV和Heapdump等高危端点。Env查找到redis但密码加密需要配合heapdump去拿到明文密码下载heapdump文件下到一半失败后面发现是对方服务器太拉了下载速度快了就容易502只能迅雷设置下载速率慢点。下载就直接找redis密码输入关键字spring.redis.password就可以查询该key的值也就是密码。但是除了上面那个老工具还推荐一个新的图形化解密heapdump很好用。https://github.com/DeEpinGh0st/JDumpSpiderGUI使用命令启动该工具java -jar JDumpSpiderGUI-1.0-SNAPSHOT-full.jar --gui寻找账号密码更方便比如redis密码、mysql密码或者shiro key等。后面就点到为止了证明漏洞存在即可。以上漏洞均已提交到SRC平台进行修复。感谢观看学习资料知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。从零到精通完整闭环基础攻防→渗透测试→应急响应→CTF实战5大模块200课时比大学教材更贴近企业实战”涵盖渗透测试案例分析与实战技巧直接对应面试真题包含CTF竞赛基础与HW行动攻防对抗实录丰富你的简历项目经验深入十大安全漏洞与利用技巧掌握这些高阶技能实战SRC挖洞赚钱。实战教学专属靶场掌握这些高阶技能谈薪更有底气。无论你是找渗透测试岗还是安全服务岗这些项目都是加分项。扫描下方图片补齐实战短板拿下心仪Offer