用户
搜索
  • TA的每日心情

    2017-11-11 11:39
  • 签到天数: 26 天

    连续签到: 2 天

    [LV.4]经常看看II

    i春秋作家

    春秋认证√作家团颜值担当

    Rank: 7Rank: 7Rank: 7

    9

    主题

    289

    帖子

    1779

    魔法币
    收听
    1
    粉丝
    26
    注册时间
    2017-6-5

    i春秋签约作者

    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者 楼主
    发表于 2017-8-11 17:04:00 7132493
    本帖最后由 onls辜釉 于 2017-8-11 09:28 编辑

    没错!你们的帅(cai)逼Onls丶辜釉又来搞事啦!

    在文章下留言回复你对表哥这系列文章的看法
    传送门:


    1.[社会工程学][Onls丶辜釉]白帽子的反击,一次对智障锁机病毒er的社工

    2.[原创][Onls丶辜釉]XSS盲打网贷黑中介之路见不平一顿骂

    3.[原创][Onls丶辜釉]结合一次有趣的XSS实战聊情怀,送给迷茫的小白们


    即可与i春秋第一帅逼进行互动!

    机不可失,时不再来!


    (如果爱我,请和我一起拒绝纯666的水帖回复,因为这会让你显得很没文化)

    0x00



    本文主要围绕两个思路,特别是对于新手:


    1.对于Web站点无法找到漏洞的情况,可以尝试通过app端进行渗透。


    2.能挖到大站漏洞当然是好事,但新手在寻找实战练习环境的时候,优先搜索偏门、用户量少的小公司,可以避免消耗无意义的时间,如果总是失败,对自信心的打击是很大的;反之,哪怕一点点小成功都能让你的渗透之路充满斗志。

    0x01

    首先要说的app是一款软件外包公司开发的交友软件:x信即时通讯:

    1.png

    这款软件其实我在几个月前就发现过,当时感觉他们完全就是在糊弄雇主:通信没加密、所有接口完全暴露、登录验证时会产生一个token,但是在之后几乎所有的与服务器交互操作过程中却都不带token,完成命令只需要往接口发送正确参数就能直接执行。举个栗子:

    他里面存在一个类似支付宝的功能,你可以在钱包里生成一个付款二维码,其他人用该软件扫描该二维码就能从你账户里扣钱到他账户。

    2.png

    3.png

    但是生成二维码这个过程,是先进行支付密码校验,校验成功后会接着往服务器发送一个创建付款订单的请求,拦截最后这个订单请求后发现没有任何身份校验,几乎完全只依靠两个参数:userId(当前用户ID)、number(付款订单金额);我先用我自己注册的帐号,通过支付密码校验后,拦截下最后这个请求包,然后修改userID为其他人的ID,发送,成功返回别人帐号创建的付款二维码的链接,通过它就可以直接收款。

    这只是冰山一角,当时它整个app几乎都可以这样操作,包括转账、聊天红包、修改个人资料、伪造定位位置信息等等,原因都归结于在进行操作时服务器没进行身份验证。感觉到问题严重,当时已经通知厂商(因此没法提供之前的漏洞截图),得知是购买的外包项目,回复会交由售后修复,并给我发了个8.88的红包表示感谢..嗯,你没看错~8.88..

    4.png

    后来我没去管它了,今天闲来无事,想起又下载下来看了下,同样通过Burp抓包拦截:




    5.png

    上图是获取某用户相册的请求,可以看到,现在的通信还是未加密,但是已经带上token了,这里我先试了下userId替换成别人的,返回报错,其他接口我也都试了下,结果都一样,也就是说现在的逻辑是不允许你越权,被操作的userId必须和当前token的用户匹配。

    为了进一步测试我先给其他用户发送一个红包(界面有点仿微信):

    6.png

    7.png

    8.png

    抓包拦截(只贴出最后一个对分析有用的包):

    9.png

    这里分析下有用的参数:userId(红包发送者的ID),destId(红包接收者的ID),redPacketAmount(红包金额),其他的比如红包类型啥的我们不用管它,保持默认。这里userId必须和后面的token值指向的是同一用户(也就是当前登录用户),而token是无法伪造的随机字符串,换句话说,如果你将红包发送方的ID换成其他用户,由于其他用户的token值你无法获取到,会造成身份认证不匹配报错。(已试)

    那么之前的越权已经不存在,这里我产生一个新思路:如果红包发送方和红包接收方是该token值所对应的同一个userId的话会怎样呢?(都是自己),为了区别,我将刚才的拦截数据包里redPacketAmount值修改为“3”,destId(接收方)值设置为和userId(我自己)相同,点击“Go”发送,

    10.png

    可以看到返回200 OK成功,返回的982应该是红包对应的ID,到app里看看:


    11.png

    可以看到,自己给自己发红包确实是成功了,但是这TM的居然是只有扣款,余额也减少了,逗我?这种漏洞拿着也没卵用,那看到这你有什么想法呢,如果你和Onls表哥一样骚的话,你应该想到,如果我填的金额是一个负数呢?说试就试,还是刚才那个包,直接修改redPacketAmount值为-100000:

    12.png

    返回200 OK,983.看来应该是发送成功了,那么我们继续到app里看看呢:

    13.png

    流水里显示--100000.00,注意这里是两个符号,负负得正,看懂表哥怎么骚的了吗,后台代码逻辑是:当前余额=账户余额-发送的红包金额,由于后台没做参数校验,导致当红包金额为负数时,相减后余额反而会变多:

    14.png

    按这个思路,理论上如果红包接收方ID填的不是自己,而是其他人,应该是还能减少别人余额的,这里表哥我不敢尝试。


    完了,发财了...来来来,表弟们,快来留言夸表哥帅,表哥这人转账就喜欢闭着眼睛按0,打多了别声张,打少了也别嫌弃!

    (申明,已通知厂商,本人未非法获取过任何利益,别查我水表)


    0x02

    (预告,本来想把细节放在这篇里一起讲的,后来觉得写这么多你们未必会认证看完)


    下篇文章的app为某育儿软件,存在严重逻辑漏洞,可直接获取到所有用户的实名信息、余额、登录密码、支付密码(可悄无声息转走所有用户的余额); 可注册任意帐号(拥有18888888888这样的靓号不再是梦) :

    15.png

    做了个简单的傻瓜式hack_demo放在我服务器上:

    16.png

    第一个HACK窗口其实就已经能拿到数据库里全部userid,但是请求的数据过大并且存在打码风险我没放在演示图里,第二个窗口是根据具体userid获取到该用户的全部数据,包括(登录密码、支付密码、余额、手机号、姓名等个人信息),第二个窗口获取到的密码是MD5加密过的,直接放第三个窗口即可解密出明文。

    其实看了下,该软件里所有用户的余额就已经不是一个小数目了,

    然而你们骚气的Onls通过获取到的登录手机号尝试了下撞库,

    还撞出了诸如这样的东西:

    17.png

    .....

    预告结束,漏洞细节敬请期待

    ...

    根据大家回复的热情来决定要不要继续更新文章,没人爱看我以后也懒得再发东西了,毕竟你们也看到了,表哥现在有钱得一逼...哈哈哈

    评分

    参与人数 10积分 +52 魔法币 +387 收起 理由
    Tozsj + 2 + 6 给大佬递茶
    pandaMan + 5 感谢发布原创作品,i春秋论坛因你更精彩!.
    野驴 + 50 + 50 感谢精彩分享,期待更多精彩文章。.
    哈哈哈先生 + 5 感谢你的分享,i春秋论坛有你更精彩!.
    jasonx + 5 大佬给我来个9998
    __LSA__ + 2 有钱人你好啊
    Kernel_C + 5 给大佬递魔法币
    xiaoye + 300 感谢你的分享,i春秋论坛有你更精彩!.
    机械鸥 + 3 土豪 我们做朋友吧
    z7788520 + 6 老子是第一个评分的

    查看全部评分

    本帖被以下淘专辑推荐:

    信息安全菜鸟/社会主义接班人
    姿势够骚,又给我的思路开了一个新世界的大门。   关于细节还得多向你讨教讨教。
    秒变土豪了,不知道以后该如何跟你说话,我得买本《如何与土豪交流》研究研究。
    还有那个8.88的红包不少啦,不是0.88就算大方啦。
    使用道具 举报 回复
    阿甫哥哥 管理员 i春秋最帅男神-阿甫大哥哥 楚 核心白帽 i春秋签约作者 白帽传说 春秋游侠 秦 燕 魏
    来自 4#
    发表于 2017-8-17 22:17:14
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    100
    思路很好,文章很流畅,不错的文章。


    Time will give me the answer
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者
    推荐
    发表于 2017-8-13 20:32:56
    Alexaderhawl 发表于 2017-8-13 12:05
    存在漏洞的网站呢?我习惯搜后台,但好多都爆破不了。

    网站我没刻意去搜过,我一般就是碰到什么网站都会习惯性去测试下,比如早上在便利店买包子,上面贴了个供应商网站,闲着没事我就会去弄弄看。一般不是什么很出门的大站都或多或少会有的缺陷的。
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    后排表白表哥 顺便请教大表哥问题:我的burpsuite设置代理的时候 浏览器和软件都调成了127.0.0.1:80 但是再用浏览器上网的时候就显示代理存在问题  虽然这时候是能抓到包的 大表哥知道怎么解决么0.0 我折腾半个月了快
    使用道具 举报 回复
    onls辜釉 发表于 2017-8-13 20:32
    网站我没刻意去搜过,我一般就是碰到什么网站都会习惯性去测试下,比如早上在便利店买包子,上面贴了个供 ...

    哈哈  跟我一样   走街上只要看到某某公司网址就记下来。。。 然后 回去搞~~~~~
    使用道具 举报 回复
    onls辜釉 发表于 2017-8-13 11:47
    因为你浏览器传送的数据被burp拦截下来了 要上网的时候得把代理取消掉

    也就是说本来burp的使用就是需要在一边打不开网页的情况下看包  一边再恢复原来的代理上网么
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者
    推荐
    发表于 2017-8-13 18:36:57
    soulgg 发表于 2017-8-13 09:30
    抓app包的时候,是在wifi里面设置代理嘛?日狗了,我手机敲好不能设置,这很皮、。 ...

    在你手机连wifi的地方设置,一般有高级选项或者长按这个WIFI就能出来,百度下burp手机抓包也行
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    yyyxy 管理员 六国战旗移动展示平台! 秦 楚 燕 魏 齐 赵
    9#
    发表于 2017-8-11 17:11:30
    拒绝666从我做起,前排支持我表哥,火钳刘明
    欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!投稿请加我QQ:286894635。
    i春秋-楚:533191896
    i春秋-燕:129821314
    i春秋-齐:417360103
    i春秋-秦:262108018
    使用道具 举报 回复
    阿甫哥哥 管理员 i春秋最帅男神-阿甫大哥哥 楚 核心白帽 i春秋签约作者 白帽传说 春秋游侠 秦 燕 魏
    10#
    发表于 2017-8-11 17:11:46
    本帖最后由 阿甫哥哥 于 2017-8-11 17:12 编辑

    辣鸡,你有我叶神牛逼吗?
    Time will give me the answer
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者
    11#
    发表于 2017-8-11 17:15:33
    阿甫哥哥 发表于 2017-8-11 09:11
    辣鸡,你有我叶神牛逼吗?

    沃日,霸总我要砍人了。
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    发表于 2017-8-11 17:16:17
    很骚气,,,,,
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者
    13#
    发表于 2017-8-11 17:18:45
    z7788520 发表于 2017-8-11 09:16
    很骚气,,,,,

    穷逼,你tm倒是评分啊,给打赏魔法币啊。

    评分

    参与人数 1积分 +1 魔法币 +1 收起 理由
    z7788520 + 1 + 1 请勿灌水,提高回帖质量将帮助论坛越来越好.

    查看全部评分

    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    发表于 2017-8-11 17:19:35
    日常莫莫哒@小莫ss

    评分

    参与人数 1魔法币 +10 收起 理由
    阿甫哥哥 + 10 你很棒

    查看全部评分

    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者
    15#
    发表于 2017-8-11 17:19:48
    yyyxy 发表于 2017-8-11 09:11
    拒绝666从我做起,前排支持我表哥,火钳刘明

    蛋总所言极是
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    发表于 2017-8-11 17:33:39
    吓得我都不敢说话了
    没看到的世界,不代表不存在。
    使用道具 举报 回复
    发表于 2017-8-11 17:39:53
    姿势够骚!表情够浪!技术够亮!抵挡住了诱惑,这里突然感觉有点委屈,,,8.88我也是呵呵了,这要是我绝壁给他来个删库!!!!!!
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2017-8-11 17:44:12
    强势的Onls大表哥
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者
    19#
    发表于 2017-8-11 17:45:04
    屌丝绅士 发表于 2017-8-11 09:39
    姿势够骚!表情够浪!技术够亮!抵挡住了诱惑,这里突然感觉有点委屈,,,8.88我也是呵呵了,这要是我绝壁 ...

    你们啊,不要总想着搞出个大新闻。
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者
    20#
    发表于 2017-8-11 17:45:27
    飘凝雪 发表于 2017-8-11 09:33
    吓得我都不敢说话了

    颤抖的雪。
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者
    21#
    发表于 2017-8-11 17:47:13
    anonyms 发表于 2017-8-11 09:44
    强势的Onls大表哥

    哈哈哈 哪里都能见到你
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    发表于 2017-8-11 17:52:14
    支持楼主出详细的app渗透教程
    使用道具 举报 回复
    12345下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册