对某APP客户微信小程序的一次渗透测试



     继承上一期app软件业务挖洞的一些经验,本文主要是针对小微信应用程序的BUG挖掘,微

信小程序默认是用自己的微信可以直接登陆,我们对微信小程序的BUG挖掘,关注的还是逻辑

漏洞,下面将从环境搭建到实例逐步讲解。(本文相对适合那些从事安全服务的老友)
 
 
 
这里我是直接下载简体中文版,自己英文不太好,点开Fiddler,选择工具,然后点击选项,捕

获HTTPS链接,勾选上的HTTPS通信,解密HTTPS通信,忽略服务器证书错误。请选择最右

边的操作按钮,选择向桌面导出根证书。在手机端,将证书导入浏览器,在我设定的9999端口

号处,通过wifi网络可以直接设定Fiddler的代理地址和端口号,然后访问问x.x.x:9999端口号,

下载证书安装。到目前为止,Fiddler可以正常地获取http和https包。针对Fiddler连接burp抓包

,下面的图配置如下:设定代理地址的微信端。抓包测试,没问题,这里抓的是抽奖助手的数

据包。
 
 
发掘小程序漏洞的一些技巧。我对微信小程序的内部业务模块进行了测试,对微信小程序的内

部业务模块进行了测试,可以直接忽略了登陆相关的漏洞,注重点还是在逻辑上。下面我用一

个例子来说明,由于金融业是相对敏感的行业,所以有些硬核漏洞,他们也会去修补,兄弟们

自己斟酌。第一步讲一下相对比较常见的微信小程序漏洞:流程验证漏洞(微信小程序内部这个

漏洞特别多,我全部都是先测试这个漏洞,大家可以平时在挖掘过程中,多收集一些返回状态

代码,供测试时使用)
 
发掘方法:确认下一步,抓包,查看返回包内部的响应代码,尝试修改响应代码,进行绕过

,输入下一步的验证码,第一步输入正确的验证码,查看返回包是否正确,然后随意输入一

个验证码,修改返回包的状态码,当正确通过时,查看是否可以绕过。随意上传漏洞(getshe

ll微信小程序中的任何地方都可以上传,通常微信小程序对文件上传的限制较小,很容易绕过

,我用getshell在文件上传过程中有几次这样做)挖掘信息泄露漏洞的方法:获取信息的位置

,根据包的内容来判断是否获取其他用户的信息。越权漏洞挖掘方法(平行越权):增删改查

处,多关注报文中的字段,挖掘越权漏洞时,一定要小心再小心,通过对字段的遍历方法,

可以检验是否越权。
 
 
针对渗透测试的微信小程序,更多关注逻辑漏洞和上传漏洞,因为通常对此漏洞的过滤都

相对少,SQL注入这种倒是没有遇到过,大家平时都多收集一些这样的响应代码,在测试过

程中可以发挥奇效,针对越权漏洞的话,多关注数据包的参数,发现类似id、uid、UserNa

me等字段,可以可以直接尝试遍历参数,关键是要小心。
分享: