看我如何拿下違法APP后臺

  網絡滲透測試     |      2023-03-23 00:03

看我如何拿下違法APP后臺

文章作者: cc

前言

經過測試后,發現該app,在輸入手機號和驗證碼之后,會申請獲取手機號權限,一旦授予權限,app會立刻獲取通訊錄手機號和姓名,上去至數據庫。性質及其惡劣??!

一、事情的開始

app來自于一個妹妹發給我的。

看我如何拿下違法APP后臺


app界面

看我如何拿下違法APP后臺


隨便新建幾個聯系人。

看我如何拿下違法APP后臺


進行注冊

看我如何拿下違法APP后臺


進行抓包發現,電話號是進行加密的,看的不是很清晰明了。

看我如何拿下違法APP后臺


由于已經進入了后臺,直接看后臺記錄。

看我如何拿下違法APP后臺


以及我剛剛新建的幾個聯系人,也都被傳到了后臺里。

看我如何拿下違法APP后臺


那么滲透的意義就有了,為了不讓更多人受害,為了匡扶世間正義,我挺身而出!

看我如何拿下違法APP后臺


二、滲透過程先抓個包,看到網站的地址。

看我如何拿下違法APP后臺


瀏覽器,打開網址,發現是空白頁。

看我如何拿下違法APP后臺

拿出我的初戀,進行后臺掃描。

看我如何拿下違法APP后臺


發現 域名/gm/  是后臺登錄界面

看我如何拿下違法APP后臺


在后臺登錄的頁面,我一般有這幾個想法:1、sql注入,萬能密碼繞過登錄2、用戶名枚舉,爆破密碼3、網站備份文件,查找密碼4、代碼審計
發現并不存在注入,也找不到備份文件,這個后臺也不是開源的,那么只能進行爆破了。
拿出我的大字典。

看我如何拿下違法APP后臺


開始爆破admin,嘗試了10000次爆破后,還是沒能登錄進后臺。正在我一籌莫展的時候,突然發現了新大陸。柳暗花明又一村!

看我如何拿下違法APP后臺


漏洞1:無賬號密碼,直接登錄我試著把賬號 密碼 都為空,然后登錄,居然進來了??!至于能登錄進來的原因,我后面再講。
后臺界面是這樣的,

看我如何拿下違法APP后臺


漏洞2:搜索處存在,字符型注入域名/gm/sblist.php?m=123'or 1=1--+

看我如何拿下違法APP后臺


漏洞3 查看電話處,存在字符注入域名/gm/alllist.php?i=0 'or 1=1--+

看我如何拿下違法APP后臺


漏洞4 刪除電話號,存在注入域名/gm/alllist.php?way=del手動測試不出來,但確實存在注入,可用sqlmap 跑出來。
三、繼續深入滲透通過注入查看,users的用戶名和密碼,發現用戶名都是一堆雜亂沒規律的賬號,猜測可能是管理員,為了保護admin賬號,即使被注入,也不會很快發現admin的密碼。管理員太天真了。
猜測管理員在添加小號時候,添加了一個用戶名為空 密碼也為空的賬戶,導致可以直接繞過登錄進入后臺,這就是賬號為空 密碼為空 可以進后臺的秘密。

看我如何拿下違法APP后臺


users的用戶,居然有10000多個,。。。

看我如何拿下違法APP后臺


查詢admin的密碼。執行:域名:/gm/sblist.php?m=123%27union select username,password,qudaonum,4 from users where username = %27admin%27 -- #

看我如何拿下違法APP后臺


密碼解md5,解不開,可能是強密碼。這里思路斷了。sql的權限 寫一句話,找不到物理目錄,無法寫文件。sql查看根目錄文件,沒有權限,讀不出來沒有其他上傳點,無法上傳文件
滲透暫時到這里 沒的思路了。
sqlmap 打包網站數據庫,交給網安處理,結束我的滲透之旅。執行:sqlmap -r sql.txt -D tongxunlu -T dianhuaben --dump --thread 5