测试目标为APP,故使用安卓模拟器,安装应用程序
百度搜索app无root抓包,下载安装
基本配置,安装证书,设置屏密码
开启抓包
登录目标app获取参数等信息
一路狂奔找可控参数,后发现通过搜寻附近的人和人的名称存在信息泄露
经纬度,账号密码等信息都泄露出来
于是机智的搜了一波客服,得到客服的账号密码,登陆之
尝试过上传,但其与网站系统分开,所以继续寻找后台。无意之间,访问一个png图片地址,跳入后台
存在用户名枚举
使用之前的客服账号密码试试
通过客服100000猜测,测试管理员为1000
查看源代码,审计js代码
通过login.js代码获取到登录后的地址,直接访问看有无越权等问题
发现页面先跳至登录后的页面再跳转回登录界面,说明可通过这个查找到一些后端的传参点,禁用javascript
一样查看源代码,发现多了一些不同的js处理代码
找到index.js文件,发现修改密码无验证码,无session认证,在找到账号的情况下,直接修改管理员登录密码
测试结束