专栏首页FreeBuf某行小程序投标测试的思路和坑

某行小程序投标测试的思路和坑

先发下牢骚吧,最近看FB里面的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇气点开看看了。

有关Web层次有价值的文献越来越少了,这点最近在打CTF时候也体现出来了,得PWN者得天下.....Web题有点难度的基本就是大杂烩(把所有和Web相关的整合到一起出一道题)

也可能是现在可利益化的圈子比较多,各种小密圈收费即分享的机制(我感觉这种机制也挺挺好,技术无价。)

好啦,到这里了……从这里就开始入正题了。

所谓投标测试,重点你测出的漏洞越多越好,和安全测试一样,不同于渗透。好像有点绕,打一个比方,banner泄露,apache版本泄露,这个基本没什么危害的也可以算漏洞,也是可以加分的。

没啥说的,开始测试(下面可能点有些啰嗦,方便所有人看。),我是直接用手机测试的。

第一个坑:

访问微信小程序显示访问超时?

说明网站使用https,需要把证书传上去,安装就好了。

整好了之后开开心心打开小程序,又发现,TM数据包是加密的,怀着郁闷的心情开始测试,发现测完了只有几个漏洞,确实蛋疼。还好在我东哥夜以继日的的研究下,到了深夜两点,找到了加密方式和密钥(据说是看动漫到了12点多)

第二个坑:

如何获取微信小程序的加密方式?

微信小程序的包其实是储存在本地的,只要是访问过微信小程序,他的包自动下载到本地。在查了半天资料,终于把wxapkg包下载到了本地,然后随便下载个解包工具,就可以得到小程序前端的代码(最好不要用那个nodejs解包的方法)

有了前端代码,很简单的从JS里面调取出来了加密方式,密钥等,原来是ECB加密,把数据包放到了解码那里,终于解码出来了,看到了解码出来的JSON字符串,心想终于可以测业务逻辑漏洞了。就这样第三个坑来了。

第三个坑

这个坑坑了我一晚上,因为这不是我的问题,是解码网站的问题。(这也是这篇文章主要想吐糟的地方)先附上两个解码网站:http://tool.chacuo.net/cryptaeshttp://www.seacha.com/tools/aes.html

从图可以看出,加密数据,通过密钥解密,然后得到的值是一样的。

然后看下图:

确实没错,相互转换解密没问题。

下面再看一张图:

看这张图,我可能遇到了玄学,这还是ECB吗?

为啥加一个双引号就差这么多呢?然后看下图:

看见这张图之后我吐了一口老血,你竟然给我编码...我服了。

下面说下原理,上图左部分的网站,会把我输入的{a=b,c="d"} 里面的双引号,先html转义之后,然后再进行ECB加密。

所以这里说一句,上面其实不用理解,记住:我们要用这个网站解密。

还有点,如果感觉网站很麻烦的话,其实可以把解密集成到burp里面,这样可以方便点。

文章里面不涉及技术,只涉及思路,大家感兴趣根据思路去做一下,自己去踩一下坑,毕竟如果我把所有步骤图放上,按步操作会局限大佬们的思想。

对了,最近SRC的活动又出来了,没事的大佬可以去赚钱去了。。。。

文章有哪些错误,或相互学习讨论的知识可以在评论留言。

*本文作者:一只耗子,本文属于FreeBuf原创奖励计划,未经许可禁止转载。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-11-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • SiteLock最新报告显示:针对网站的攻击激增,平均每天有63起

    根据SiteLock于本周一发布的最新分析报告显示,在过去的几个月里,针对网站的攻击活动数量出现了大幅增加。 ? SiteLock的网站安全内部报告是基于对超过...

    FB客服
  • 中央网信办等四部委联合开展互联网网站安全专项整治

    近日,记者从有关部门了解到,中央网信办、工业和信息化部、公安部、市场监管总局四部门于2019年5月至2019年12月,联合开展全国范围的互联网网站安全专项整治工...

    FB客服
  • 伪基站与网络钓鱼的结合利用测试及结果分析

    ? 1.FreeBuf科普 “伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡...

    FB客服
  • Spring Boot实现文件上传

    Spring Boot默认支持文件上传,enabled这个可以不用配置,默认支持将文件写入磁盘,默认最大文件大小是1MB,默认最大请求大小是10MB,后面两个参...

    itlemon
  • ansible(6)——模块命令command、shell详细用法

    前面在使用-m command命令时,只用了一些基本的操作,其实可以通过ansible-doc的命令查看command里和shell更加详细的功能:

    gzq大数据
  • docker exec执行多个命令详解 原

    docker exec命令能够在运行着的容器中执行命令。docker exec命令的使用格式:

    拓荒者
  • 主流开源分布式图数据库 Benchmark

    近年来,深度学习和知识图谱技术发展迅速,相比于深度学习的“黑盒子”,知识图谱具有很强的可解释性,在搜索推荐、智能助理、金融风控等场景中有着广泛的应用。美团基于积...

    NebulaGraph
  • 【专业技术】在C/C++程序中打印当前函数调用栈

    前几天帮同事跟踪的一个程序莫名退出,没有core dump(当然ulimit是打开的)的问题。我们知道,正常情况下,如果程序因为某种异常条件退出的话,应该会产生...

    程序员互动联盟
  • 私有api:com.apple.springboard.lockcomplete审核被拒

    honey缘木鱼
  • Angular2使用ng2-file-upload上传文件

    Angular2中有两个比较好用的上传文件的第三方库,一个是ng2-file-upload,一个是ng2-uploader。ng2-uploader是一个轻便的...

    用户5640963

扫码关注云+社区

领取腾讯云代金券