小程序为什么好挖?某x多个高危实战案例

最新推荐文章于 2025-11-24 16:16:01 发布
原创 最新推荐文章于 2025-11-24 16:16:01 发布 · 914 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#小程序 #网络 #安全 #web安全 #人工智能 #运维

小程序为什么好挖?某x多个高危实战案例

在一次渗透测试中,发现小程序存在几个高危漏洞,请看我娓娓道来。

挖洞要信奉一句话,功能越多漏洞越多,尤其是这种小程序,功能太多了,经常被打成筛子。

通过Hae插件在历史数据包中,发现疑似存在AKSK泄露。

Ok昂~开局捡个aksk,验证过第一个aksk是阿里云的,可以接管。第二个aksk是火山云的,但是存在一些权限问题,没利用成功。

阿里云的成功接管,并且可以获取大量图片数据和其他静态资源。

登录一波小程序,接着查看下个人信息,看有无id参数越权查询。

查看数据包只有JWT认证,那就只能测一下JWT相关漏洞~

简单介绍下JWT:

JWT(JSON Web Token)的结构由三部分组成,分别是Header、Payload和Signature。

Header字段包含了JWT使用的算法和类型等元数据信息;

Payload字段包含了JWT的主要信息;

Signature字段是使用指定算法对Header和Payload进行签名生成的,用于验证JWT的完整性和真实性。

接着来解密下JWT,发现Payload字段有一个username参数,有越权的可能性。但还需要解决JWT签名检验问题,不然改了Payload也无意义。

这里我用了Tscan里面的JwtCrack进行JWT漏洞扫描,发现存在alg为none的JWT漏洞

这还说啥,我勒个豆,签名都不用了那也就不用去JWT密钥爆破了。(“alg"字段设为"None”,则标识不签名)

接下来就好办,直接改username参数,并且alg设为none

把username参数修改成受害者的,看看能否越权。

替换篡改了受害者的JWT,直接越权查询其他人的个人信息。

点击地址管理,替换JWT,也能越权查询其他人的地址信息。

同理,其他功能点通过JWT进行鉴权的都可以越权查询。查询订单处

其他危害比较小的越权就不放出来了~。

该站点实际后端直接都不校验签名。

还有其他JWT漏扫工具,但是还是比较推荐无影Tscanplus:

插件还捡了个Actuator端点泄露,其中泄露了ENV和Heapdump等高危端点。

Env查找到redis,但密码加密,需要配合heapdump去拿到明文密码

下载heapdump文件下到一半失败,后面发现是对方服务器太拉了,下载速度快了就容易502

只能迅雷设置下载速率慢点。

下载就直接找redis密码,输入关键字:spring.redis.password

就可以查询该key的值,也就是密码。

但是除了上面那个老工具,还推荐一个新的图形化解密heapdump很好用。

https://github.com/DeEpinGh0st/JDumpSpiderGUI

使用命令启动该工具

java -jar JDumpSpiderGUI-1.0-SNAPSHOT-full.jar --gui

图片

寻找账号密码更方便,比如redis密码、mysql密码或者shiro key等。

后面就点到为止了,证明漏洞存在即可。

以上漏洞均已提交到SRC平台进行修复。感谢观看!

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包,需要点击下方链接即可前往获取

读者福利 | 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

👉1.成长路线图&学习规划👈

要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

在这里插入图片描述
在这里插入图片描述

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程文末领取哈)
在这里插入图片描述

在这里插入图片描述

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

在这里插入图片描述

黑客资料由于是敏感资源,这里不能直接展示哦!(全套教程文末领取哈)

👉4.护网行动资料👈

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

在这里插入图片描述

👉5.黑客必读书单👈

在这里插入图片描述

👉6.网络安全岗面试题合集👈

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
在这里插入图片描述
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

读者福利 | 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

SpringBoot2.x系列教程(六十九)Spring Boot整合Shiro,两种方式实战总结(含源码)
程序新视界
01-27 1083
Shiro是历史悠久的权限管理框,简单易用,易用集成,同时权限管理也是每个项目必不可少的功能。Spring Boot是Java领域炙手可热的脚手架框架。今天这篇文章就带大家将这两个框架进行整合。 通常Spring Boot中整合Shiro,有两种方案:第一,基于原生API进行整合;第二,基于Shiro官方Starter整合。 整体而言,官方Starter整合并没有方便很多,因此,本文主要以原则API进行整合, 下面就来看看具体的整合方式。 创建Spring Boot项目 创建Spring Boot项目通常有
玩转 ABAP 多数据库连接:标准连接、二级连接与服务连接的实战指南
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
05-13 256
在表。
小程序为什么?某x多个高危漏洞实战案例
A1353192296的博客
09-04 1128
共同研发的的网安视频教程,内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,100多本网安电子书,最新学习路线图和工具安装包都有,不用担心学不全。接着来解密下JWT,发现Payload字段有一个username参数,有越权的可能性。这还说啥,我勒个豆,签名都不用了那也就不用去JWT密钥爆破了。洞要信奉一句话,功能越多漏洞越多,尤其是这种小程序,功能太多了,经常被打成筛子。
记一次SRC中通过小程序逆向解密获得中高危
qq_52579508的博客
06-12 1057
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。在掘src的过程中 ,现在很多都偏向小程序的漏洞了,这里记一次小程序解密加密然后掘漏洞打开一个小程序发现全部都是使用的这种看不懂的加密 ,看着像是base64 的加密 ,但是解密肯定不是 。...
从靶场到实战--双一流高校多个高危漏洞
Palpitate_LL的博客
06-12 819
Git就是一个开源的分布式版本控制系统,在执行git init初始化目录时会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等,发布代码的时候如果没有把.git这个目录删除而是直接发布到服务器上,那么攻击者就可以通过它来恢复源代码,从而造成信息泄露等一系列的安全问题。这种:syl88888888一看就是弱口令,但如果你只是通过现存的什么top100,top500这种字典是爆破不出来的,所以在进行渗透测试时一定还要根据页面特征,关键字,系统名称首字母等信息制作特定的社工字典尝试。
实战分享—微信小程序EDUSRC渗透漏洞复盘,黑客技术零基础入门到精通实战教程!
白帽阿叁的博客
08-27 983
本文分享了针对某微信小程序的渗透测试过程,发现多个高危漏洞:1)通过数据包构造未授权访问敏感接口,泄露7802条用户身份证、手机号等隐私信息;2)利用文件路径拼接漏洞可批量下载用户身份证照片;3)存在未过滤的文件上传漏洞,可上传phtml木马执行任意代码;4)微信一键登录功能存在会话密钥泄露风险。整个渗透过程涉及数据包分析、接口参数修改、路径拼接等多种技术手法,暴露出小程序在认证机制、数据保护和输入过滤等方面的严重安全隐患。
微信小程序开发全攻略:从快速上线到安全防护
qq_33163046的博客
07-30 1572
本文深入解析微信小程序开发全流程,从架构选型到安全防护。 架构选型:对比云开发(适合中小项目,集成AI能力)与自建服务器(适合高并发/定制化需求),提供代码示例与优化方案。 前端开发:详解原生组件封装、性能优化技巧(分包加载、懒加载)及主流框架(Taro/UniApp)选型建议。 后端实现:云开发方案含数据库安全规则与数据加密;自建服务器方案涵盖API网关设计、分布式会话管理等企业级实践。 安全防护:破除常见安全误区,强调渗透测试必要性,提供数据加密、传输安全等全链路防护方案,符合《个人信息保护法》要求。
基于微信小程序的心血管疾病风险预测系统(源码+文档+部署讲解等)
06-16 827
在 "健康中国 2030" 战略与心血管疾病高发现状的背景下,我国心血管病患者超 3.3 亿,每年死亡人数逾 400 万,防控形势严峻。据《中国心血管健康与疾病报告 2023》显示,80% 的心血管疾病可通过早期干预预防,但基层医疗机构风险评估能力不足,居民自我健康管理意识薄弱,传统预测模型存在维度单一、更新滞后等问题。开发基于 SpringBoot 的心血管疾病风险预测小程序,旨在构建智能化、全流程的健康管理服务平台,推动心血管疾病防控关口前移与管理效率提升。该系统以 SpringBoot 为核心框架,整
为什么你的程序总是出现 bug?
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
02-01 1985
Python实战社群Java实战社群长按识别下方二维码,按需求添加扫码关注添加客服进Python社群▲扫码关注添加客服进Java社群▲作者丨李鱼皮来源丨程序员鱼皮(ID:coder_yu...
Python+混合云=无敌运维组合?5个真实案例告诉你有多强大
LogicShoal的博客
10-03 881
掌握混合云环境运维难题?5个实战案例揭秘Python运维工具如何提升自动化效率,涵盖资源调度、监控告警与成本优化。适用于多云管理、CI/CD集成等场景,实现高效稳定运维,值得收藏。
如何为遗留Python代码添加单元测试?重构与测试策略
AI天才研究院
06-13 1732
你是否遇到过这样的场景?接手一个运行了3年的Python项目,代码里满是全局变量、跨模块修改状态的函数,想修改一个功能却要反复手动测试3小时?本文将聚焦这类"难以下手"的遗留代码,教你如何逐步添加单元测试,建立安全基线,为后续重构铺平道路。本文将按照"认知→分析→行动"的逻辑展开:先理解遗留代码的特点,再学习处理依赖的核心技巧,接着通过实战案例演示完整流程,最后分享工具和长期维护策略。
USACO Bronze级别译题实战:初学者必知的5类高危误解问题(附案例精讲)
[USACO Bronze级别译题实战:初学者必知的5类高危误解问题(附案例精讲)](https://www.askpython.com/wp-content/uploads/2020/06/python_http_server_file.png) # 摘要 本文针对USACO Bronze级别竞赛中初学者...
企业网络安全的盾牌:X-Scanv3.3实战应用案例大剖析
[企业网络安全的盾牌:X-Scanv3.3实战应用案例大剖析](https://hostedscan.com/.netlify/images?url=/images/internal-scans/scans-table.png&w=1920&quality=75) # 摘要 本文全面介绍了X-Scanv3.3这一企业级网络...
陪诊陪护小程序一番赏衍生玩法分析:场景融合与用户激励的双重创新
wangzhencici的博客
11-22 1056
针对陪诊服务 “亲友推荐” 的核心获客场景,设计 “邀请组队 + 公益奖励” 的一番赏玩法:用户发起 “健康守护队”,邀请 2 名亲友注册小程序并完成首单(任意金额陪诊订单),组队成功后全队可共同参与 “健康守护赏” 抽奖,邀请人数越多,奖池等级越高。针对慢性病患者、老年群体等 “长期陪护需求” 用户,推出 “会员制一番赏”:用户开通年度陪护会员(如 999 元 / 年),即可解锁 “长期陪护赏” 全年抽奖资格,每月可抽 1 次,累计 12 次机会,奖池聚焦 “长期健康服务”:​。1. 玩法核心逻辑​。
基于JAVA语言的短剧小程序-抖音短剧小程序
最新发布
weixin_42648890的博客
11-24 794
中国短剧市场呈现爆发式增长,2023年市场规模达373.9亿元,预计2025年将突破677亿元,用户规模已超5.76亿。技术开发采用SpringBoot+MyBatisPlus+MySQL后端架构,搭配UniApp和Vue+ElementUI前端框架,支持多平台客户端。运营策略强调精准定位受众需求,注重题材创新与制作质量,通过多平台内容分发和社交互动实现有效推广。
医疗小程序12出诊列表
低代码布道师的博客
11-24 681
本篇我们介绍了医生出诊列表的搭建过程。先是搭建了列表的布局,然后修改了日期切换函数,让日期的切换和列表进行联动。灵活运用布局组件就可以搭建出各种好看的效果来。
【开题答辩全过程】以 火锅点菜小程序为例,包含答辩的问题和答案
shiji5078的博客
11-23 956
本文展示了一份基于微信小程序的火锅店在线点餐系统毕业设计开题答辩实录。系统包含点菜、配菜、结账和后台管理四大模块,采用PHP+MySQL技术栈实现扫码点餐、在线支付等功能。答辩中,评委针对系统通用性、技术选型、订单处理、支付功能等提出专业问题,学生就系统适配性、PHP选择理由、订单管理机制等问题作出回应。评委肯定项目实用性,同时指出文档规范性、技术深度等方面的不足,建议完善订单处理逻辑并增加创新功能。该案例为毕业设计开题提供了完整参考,包括常见问题应答思路和报告修改方向。
【开题答辩全过程】以 高校工会作品展示与评分小程序为例,包含答辩的问题和答案
shiji9932的博客
11-22 537
本文记录了一名计算机专业学生的毕业设计答辩过程,其课题为《高校工会作品展示与评分小程序设计与实现》。系统旨在为高校教职工提供线上作品展示与评分的平台,采用微信小程序+云开发技术栈。答辩中,学生阐述了选题背景、功能设计(作品上传、评分机制等)、技术选型考虑及实施计划。评委肯定了选题价值和技术方案的可行性,同时指出需细化技术细节、加深对云开发的理解。该案例展示了毕业设计从选题到答辩的完整流程,对类似项目具有参考价值,文末提供开题报告获取方式。
Linux核心命令行工具使用指南与实战案例
)将多个简单命令串联成复杂逻辑链。例如 ls | grep ".log" | xargs rm 可批量删除日志文件,ps aux | grep nginx | awk '{print $2}' 获取Nginx进程ID,充分体现 Unix/Linux 设计理念——每个程序只做一件事,但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值