黑客意志

一次App 渗透实战

玄魂工作室秘书 玄魂工作室 前天

郑重声明:昨天这篇文章对外发布的时候,很多人直接找到我,说泄露了小米商城的的内部bug。吓得我赶紧撤回了文章。现在解释一下,文中确实有捕获小米的流量,那是因为我们的测试机为小米手机,并非测试的是小米商城。作者也非小米员工。为了表示歉意,本篇文章发放红包,领取红包方法,见文末。
———————————–
说明: 本文来自 “玄说安全” 内部成员

—————————————————–

最近对自家公司的业务app做了自查测试,发现的一个问题,以及测试过程所遇到的坑,记录下来。
1,首先在手机wifi里设置代理,将手机的流量都导入到导入到电脑的burp里。

2,先抓取涉及到目标app的流量,不出意外,流量全部做了加密(要都是明文,也就没有记录的意义了^_^).

3,一看加密流量,就很自然的接上frida,查看加密的流量内容,并尝试使用burp的插件,解密流量,尝试修改参数,再进行加密,再次提交。
启动frida服务,并设置与电脑联调。

抓取加密流量

查看对应的加密流量里解密后的信息

4,因为惯性思维,导致在这里遇到了此次测试最大的坑!想当然的以为所有的加密流量都是由app封装的,逆向了apk之后,查找所有涉及到加解密的函数,一个一个hook查看,发现这个app,一部分流量是经过了公司内部的加解密服务,可是有一部分流量,无法hook到。
无法hook到的加密流量(可能老司机们一眼就能看出来问题所在,可我这个小白,在这个困住了好久 –!)

5,经过反复查看流量的上下文,发现hook的流量是从另一个接口发出的,单独查看这几到这个接口的流量,发现这些流量是通过js加密的。。。。

使用的加密方法以及秘钥,已经明明白白的写在了js文件里了。。。。

6,按照js里写的加密方法,找了一个在线解密的网站,通过选择加密方法,填入秘钥,就可以解密出加密的数据。
blog.zhengxianjun.com/h

查看解密后的流量,其中一个phoneuuid得到了重点关注(关注的原因,只是因为经验所致,查越权,基本上都是重点关注这些涉及到id的参数)。

7,使用这种方法,将这个接口交互的流量都进行了查看,发现“管理收货地址”这个接口,可以查看到我先前设置好的收货地址信息。

8,修改提交参数,把phoneuuid改成另一个测试账号的id,发现可以查看到另一个账号的里设置的收货地址信息,坐实了此接口存在越权的漏洞。

(请原谅这些厚厚的马赛克。。。因为这些地址,是同事家的真实地址)

8,以上验证方法需要在3个不同的站点进行转发,效率太低了,就用Python按照js的加密方法,参考网上的代码,造了了一个轮子,可以输入明文或者密文,直接显示最终的结果。
按照phoneuuid的格式,随机制造数据,使用这个脚本做加解密转换,就可以遍历其他人的收货地址信息。

后记:
与开发同事沟通,说此phoneuuid是由后端进行aes加密生成的,apk文件里也不包含此加密的key,但通过更改id,就能查看其它信息,这点的确是存在越权的问题。
另外,还建议增加phoneuuid的长度,现在是16位的16进制字符串,但理论上,还是可以造足够大的数据来进行遍历。当然,如果权限那块做好的话,这个块应该就不存在问题了。
———————————–

本文享受原创奖励 100 元。
————————————

———————————-
关注玄魂工作室–精彩不断
个人年度总结及AWD线下赛复盘 拖了很久
iOS冰与火之歌 – 利用XPC过App沙盒

赞(0)
分享到: 更多 (0)

黑客技术,黑客教程,黑客软件,黑客入门,黑客工具,黑客平台,黑客下单,渗透测试,CTF,菠菜,源码,暗网,安卓,物联网安全,网络安全周,国家安全,企业安全,盗QQ号,正规黑客,接单黑客,SRC测试,黑客修改,黑客交流,黑客追款,APP渗透,黑客系统

联系我们联系我们