记一次挖洞经历

文章来自【字节脉搏社区】 作者-purplet

0x01 背景

我们学校用的查成绩一直使用的是某公司的app，但是由于查询量和手机版本等等原因，经常抽风，导致查询不了成绩，最要命的是只能在学校查询成绩，导致我这种在及格线上疯狂试探的没法过一个愉快的暑假暑假，于是在一个夜黑风高的夜晚，我决定看看app到底是怎么写的。

0x02 抓包，复现，漏洞

在上查询后利用夜神模拟器，下载需要测试的该软件，调好代理

设置代理进行抓包的过程：

第一步：需要查看自己电脑上的ip，以及在bp上设置代理

接下来是在模拟器上进行wifi的代理设置。在模拟器的wifi设置中，把鼠标移到连接的WIFI上，长按左键，进入修改网络界面

进入高级选项，设置ip和端口

保存好以后，在模拟器中使用浏览器访问个网页，可在bp上抓到包

虽然可以抓到包，但是页面一直报证书有问题（在实际手机上是抓不到https包的，因为需要证书）

下载完证书在“设置” →“安全” 最下面 →“从SD卡安装” → 找到证书文件 点击即可

这里发现是平行越权漏洞

越权漏洞是一种很常见的逻辑安全漏洞，根据维度进行分类，可分为：平行越权、垂直越权、交叉越权

而平行越权又是指权限类型不变，权限ID改变；如：同是普通用户，其中一个用户可查看其它用户信息。常见的就是通过修改某一个ID参数来查看其他用户的信息，比如你查看自己的信息时，发现URL连接中，或者http请求头中有一个userID的参数，然后你修改这个参数就可以查看那个人信息了！

接下来就可以正常抓包了，然后我就对该app其各部分抓包

在成绩查询部分抓包这里显示了部分内容

发包过去也没个正常响应，尝试抓了其他的包，也得不到什么敏感信息（就是在这里被疯狂diss）后来还是将这个包的参数部分更改成Cjcx（成绩查询的缩写，第一个C大写根据那个X模仿的），为什么会这样呢，可能是app开发时设置的小手段

发包过去得到响应，这回看到自己的各科成绩

然后看了下之前抓取的包，发现没有密码的位置，只是根据学号就能知道分数了，然后猜测是否有平行越权漏洞（这样即使别人更改密码我也能看到他的成绩）

尝试了下，真的成功了

这个是我，然后

修改成别人的学号，发包，拿到其成绩（成功）

这样即使别人修改了密码对我来说也无所谓

至此漏洞复现成功

然后发现之前抓到的包中是

协议，这就很nice了，意味着可以从网页上进行请求

于是凭着搞事情的想法，我就想自己写一个查成绩的小工具，摆脱此类都无法正常打开的噩梦，而且不需要密码，就可以查到别人的成绩

0x03 POST请求

尝试后得到响应

到这就很nice了，可以写脚本，获取多人的成绩，比一个一个看不方便多了

然后写了一个脚本（脚本垃圾，勿喷）

主要调用requests库和re库，利用requests库对该网页内容发起一个post请求，发现得到的结果，一个人的各科成绩全都挤在一起，然后利用re库的sub函数对挤在一起的部分进行替换分割，最后将其内容自动生成一个文本保存到如图地方

至此只要修改学号范围，就能拿到所有人的成绩

然后考虑到若是给新手使用，没有python环境会没办法使用，则想到利用python的一个pyinstaller模块，对python文件进行转换，转成exe文件

首先在cmd命令行中 pip install pyinstaller

在cmd命令行中 pyinstaller -F 需要转换的python文件（带上绝对路径的，这里我是在桌面有这个文件）

建议在一个切换到一个独立的文件夹中使用该命令，因为他会生成几个w文件，

exe文件在dist文件中

运行即可在桌面生成一个成绩的文本，记录全班成绩

最后提交漏洞，这里现在漏洞已经修复

0x04 尾话

至此该漏洞复现完成，这里同时也感谢我师傅的帮助