小工具为什么好挖？某x多个高危实战案例

小程序为什么好挖？某x多个高危实战案例

在一次渗透测试中，发现小程序存在几个高危漏洞，请看我娓娓道来。

挖洞要信奉一句话，功能越多漏洞越多，尤其是这种小程序，功能太多了，经常被打成筛子。

通过Hae插件在历史数据包中，发现疑似存在AKSK泄露。

Ok昂~开局捡个aksk，验证过第一个aksk是阿里云的，可以接管。第二个aksk是火山云的，但是存在一些权限问题，没利用成功。

阿里云的成功接管，并且可以获取大量图片数据和其他静态资源。

登录一波小程序，接着查看下个人信息，看有无id参数越权查询。

查看数据包只有JWT认证，那就只能测一下JWT相关漏洞~

顺便推荐下讲的不错的JWT漏洞文章：

web漏洞之JWT越权(详解+靶场练习)

也简单介绍下JWT：

JWT(JSON Web Token)的结构由三部分组成，分别是Header、Payload和Signature。

Header字段包含了JWT使用的算法和类型等元数据信息；

Payload字段包含了JWT的主要信息；

Signature字段是使用指定算法对Header和Payload进行签名生成的，用于验证JWT的完整性和真实性。

接着来解密下JWT，发现Payload字段有一个username参数，有越权的可能性。但还需要解决JWT签名检验问题，不然改了Payload也无意义。

这里我用了Tscan里面的JwtCrack进行JWT漏洞扫描，发现存在alg为none的JWT漏洞

这还说啥，我勒个豆，签名都不用了那也就不用去JWT密钥爆破了。（“alg"字段设为"None”，则标识不签名）

接下来就好办，直接改username参数，并且alg设为none

把username参数修改成受害者的，看看能否越权。

替换篡改了受害者的JWT，直接越权查询其他人的个人信息。

点击地址管理，替换JWT，也能越权查询其他人的地址信息。

同理，其他功能点凭借JWT进行鉴权的都可以越权查询。查询订单处

其他危害比较小的越权就不放出来了~。

该站点实际后端直接都不校验签名。

还有其他JWT漏扫工具，但是还是比较推荐无影Tscanplus：

https://github.com/ticarpi/jwt_tool

https://github.com/tyki6/MyJWT/

插件还捡了个Actuator端点泄露，其中泄露了ENV和Heapdump等高危端点。

如果这方便不懂，可以看一看b站视频：

https://www.bilibili.com/video/BV1a1w5exEXX/?spm_id_from=333.1387.collection.video_card.click

Env查找到redis，但密码加密，需要配合heapdump去拿到明文密码

下载heapdump文件下到一半失败，后面发现是对方服务器太拉了，下载速度快了就容易502

只能迅雷设置下载速率慢点。

下载就直接找redis密码，输入关键字：spring.redis.password

就可能查询该key的值，也就是密码。

但是除了上面那个老工具，还推荐一个新的图形化解密heapdump很好用。

https://github.com/DeEpinGh0st/JDumpSpiderGUI

使用命令启动该工具

java -jar JDumpSpiderGUI-1.0-SNAPSHOT-full.jar --gui

寻找账号密码更方便，比如redis密码、mysql密码或者shiro key等。

后面就点到为止了，证明漏洞存在即可。

以上漏洞均已提交到SRC平台进行修复。感谢师傅观看！

文章来自网上，侵权请联系博主

学习资源

如果你是也准备转行学习网络安全（黑客）或者正在学习，这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够支援到你

知识库由360智榜样学习中心独家打造出品，旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力，熟练掌握基础攻防到深度对抗。

读者福利 |CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

一、知识库价值

深度： 本知识库超越常规应用手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，给出了独到的手艺视角和实战验证过的对抗方案。

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对困难攻防挑战的实用指南。

实战性： 知识库内容源于真实攻防对抗和大型演练实践，经过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。

二、 部分核心内容展示

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗工艺。

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技巧。

内容组织紧密结合攻防场景，辅以大量真实环境复现案例、自动化应用脚本及配置解析。通过策略讲解、原理剖析、实战演示你学习过程中好帮手。就是相结合，

1、网络安全意识

2、Linux操作系统

3、WEB架构基础与HTTP协议

4、Web渗透测试

5、渗透测试案例分享

6、渗透测试实战技巧

7、攻防对战实战

8、CTF之MISC实战讲解

三、适合学习的人群

‌基础适配人群‌

1. ‌零基础转型者‌：适合计算机零基础但愿意系统学习的人群，资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌；
2. ‌开发/运维人员‌：具备编程或运维基础者可通过资料飞快掌握安全防护与漏洞修复技能，实现职业方向拓展‌或者转行就业；
3. ‌应届毕业生‌：计算机相关专业学生可通过资料构建完整的网络安全知识体系，缩短企业用人适应期‌；

‌能力提升适配‌

1、‌技术爱好者‌：适合对攻防技术有强烈兴趣，希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌；

2、安全从业者‌：帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌；

3、‌合规需求者‌：包括等保规范、安全策略制定等内容，适合需要应对合规审计的企业人员‌；

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传CSDN，朋友们若是需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

‌；

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传CSDN，朋友们如果得可以在下方CSDN官方认证二维码免费领取【保证100%免费】