!
也想出现在这里? 联系我们
创意广告

渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式

前言

针对小程序和公众号的渗透测试,咱们都知道只要拿到开发者ID(AppID)和开发者密码(AppSecret),咱们即可结束此次测试。拿到

Appid和Appsecret之后咱们大概率可以直接实现账号接管。

记录一次最近在渗透测试中发现的一起秘钥泄露实现多权限账号接管的案例。

测试流程

拿到目标靶标信息之后,首先是经过一番信息搜集,常规Web方面的防护比较齐全,waf、数据加密等在各个功能点都有体现,只能转战其他地方。查看了公众号和小程序,公众号是直接调用官方api,没有自己开发的业务,只能放过,开始对小程序的测试。

打开小程序,注册登录,挨个点完功能点,基本上都是数据查询,没有类似文件上传等功能点,查看burp数据包,突然发现一个有趣的数据包

图片[1]-渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式-安全小天地

重放发现这是一个配置信息的接口,里面存在诸多秘钥,包括但不限于微信小程序秘钥,支付宝平台配置秘钥,以及业务对接api秘钥,因为敏感问题,这里只能厚码处理了,请各位看官老爷见谅

图片[2]-渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式-安全小天地
图片[3]-渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式-安全小天地

危害证明

经历过甲方的灵魂提问,这个key有啥用,没有证明危害,直接pass

这里为了证明秘钥是真实使用的,而不是虚假过期的,以微信小程序接口测试。

针对微信小程序,咱们需要首先获取access_token参数,然后通过添加认证参数才可以调用官方接口。

首先获取access_token,通过拼接泄露的appid和secret获取

 https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=appid&secret=appsecret
图片[4]-渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式-安全小天地

接着这里为方便测试,使用微信自带的接口测试工具进行证明

 https://developers.weixin.qq.com/apiExplorer

配置好access_token之后,咱就可以接管小程序管理权限,这里以获取小程序服务器配置域名为例,进行证明危害

图片[5]-渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式-安全小天地

同理咱们可以查看支付宝官方开发文档配置对应的小程序进行账号接管

图片[6]-渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式-安全小天地

总结

针对各种敏感秘钥泄露的利用,最实用的方式是翻阅官方文档,通过官方介绍进行测试,避免对业务造成影响,点到为止,证明危害即可。


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞1613 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容