登陆 注册

对棋牌app漏洞挖掘以及一些工具(附送0DAY)

CDL路飞 2020-04-13 安全文摘

大家好,很久没更新有没有想我呢。

(大家想要的东西附在文章末尾,回复关键字下载获取下载地址)

没错,就是那个越权帮别人支付订单,xss打自己cookie的男人,他回来了。

前段时间写的帮粉丝渗透棋牌app,被很多朋友私信问我到底怎么搞下来的,他们也想来这么一套一顿操作猛如虎的连环打法。

但是我怎么可能告诉你们我是admin/123456进去的?那不是有损我在你们面前树立起的高手形象?不行,我得编个故事,告诉你们我不是用的0DAY,只要不是admin/123456,那我的形象还能基本维持住。好了,闲话不多讲,咱们进入今天的主题活动。

那么,我们到底应该怎么去测试app?

总结一下很多人遇到这种棋牌app测试项目的几种问题。

  1. 只给你一个下载app的地址。

  2. 就会抓个数据包。

  3. 一顿操作猛如虎,没事折腾一下午。

在实际情况中,很多小型的非法的棋牌app都以经很少自己建立一个官网了,而是转为将app放在第三方下载站点,比如这个。

也就是说,在从网站获取信息之类的情况基本没有了,那么我们能收集信息的也就是app里面去入手了。

打开app以后他是这样的。

如果现在你们能回答问题的话,那我觉得,你们肯定会告诉我,当然是客服留言处xss来一发啦!

说实话,在对棋牌app测试中,xss盲打成功的结果基本为负数,当然,也并不是说xss就没用了,但是毕竟这个东西还是要看场景的。  

关于还有人会说的注入,近段时间,我遇到的app测试,就一个,还是两个月前的事情了,当然,也可能是我太菜了,没注意到。

那么剩下的关键就是抓包了,除了上面我们说的注入,利用burpsuite相结合,来对链接进行测试之外,其实更多的,是获取到有用的信息,比如网站的ip地址,或者一些域名信息,虽然前面说了,很少有做官网的棋牌了,但那些都是一些小站,有野心和投入的还是会搭建官网,可以把PC端和手机端同步做起来的。

那么棋牌站点官网会不会存在注入等等这些漏洞呢?答案是可能会存在,比如下面这个案例。

我们一再强调,注入产生在数据交互的地方,上面有什么地方是能够产生数据交互的呢?眼睛不瞎手没断的朋友,看一眼,动下手就知道了。

我们在这个地方抓包,以下是数据包。

POST /index/api/user_records.html HTTP/1.1
Host: 5232yh.com
Proxy-Connection: keep-alive
Content-Length: 30
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://5232yh.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://5232yh.com/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=vtejfajscs9ig29ckdm6nm3dc0
page=1&act_id=71&actuser=qq000

最终结果是act_id存在注入。

所以我们才讲,测试范围和方向大一点,能挖掘漏洞和利用漏洞的地方才会多,局限性太大,不管什么测试,都很难办。

在这里还得给大家讲的是关于网上一些文章说的把app放到类似于360显微镜,腾讯金刚的app漏洞测试平台去测试,希望大家还是冷静点,首先看看自己会不会逆向,看不看得懂安卓代码。

对我来说,不管你上面显示扫描出多少个漏洞,只要我够废物,漏洞永远找不到我。另外,360显危镜最让人无语的一点,就是没有搜索app的功能,每次上次都只是给你一个链接,让你去看,我怀疑这个玩意儿就是他们收集信息的一个来源,简直坑人,至于漏洞扫描,大家可以看看扫描结果,如图。

如果按使用后感觉来说,我感觉根本对我没有什么屁用,起码对我想拿权限这个前提来说真的没什么屁用,何况这些扫描结果,是真的鸡肋。

还是自己抓包把,抓包是最实在的,很多人给我反馈过说抓不到有用的包,就我自己的经验来看,对棋牌app测试,抓哪里的包最容易抓到有用的?

那么我的答案就是,抓充值接口的包,为什么要抓充值接口? 

首先,棋牌站点可以在后台设置充值接口,支付宝,微信等等二维码,如果设置在后台完成,并没有利用到第四方支付,那么就很有可能暴露后台地址链接,ip等等,比如上面我们说的至尊棋牌。

在这里,我没有抓包,只是点击,发现跳转到浏览器的一瞬间,跳转地址是一个180开头的ip地址,但是紧接着,又变成了一个第四方支付。

那么我们就直接抓包呗。

最后抓到链接为

http://180.xx.xxx.126/AppPay/zhifumao/index.aspx?gameid=101036&money=50&paytype=2

不要说我不给你们实践的机会,下面是app下载地址。

https://bccji.com/p/A0tohkckur8

想装逼,就自己动手去搞。

得到ip后,访问是跳转到app下载地址的,所以,web服务肯定是在端口后面的,果然随后用nmap扫描到8081这个端口,访问,是后台。

肯定有人问我,那我怎么搞到后台系统里面去啊?

别问,问就是admin/123456

那么,在这里,我就得给大家推荐一款好用的工具了,一位表哥写的apk敏感数据提取工具。apkAnalyser (文章末尾有下载地址)

把要提取的apk文件放到apps里面,然后点击apkAnalyser.exe就行了,接着就可以在result目录下看到提取的数据了,

包括哈希,ip,路径等等。

当然,还要给大家提供一个appscan平台,地址为:

https://www.appscan.io/

邮箱注册一个账号,上传app就可以进行扫描提取数据信息。

11.png

反正是比那些什么玩意儿好用多了,一天到晚搞那么多花里胡哨的。 

你问我既然有这个平台,为啥还要给个工具出来?还不是想让你们多个选择,憋说话,我爱你们就完事了。

看到这里,你们小小的脑袋里肯定很疑惑,我看了半天都不知道到底测试了啥,其实我也不知道测试了啥,反正就是凑字数。

测试个锤子,搞棋牌肯定要靠0DAY啊,测试测试,测个锤子试。

另外就是之前的那个可以改开奖号码彩票站点了。

首先,那个网站程序叫天恒,前台存在xss,在订单用户名处,可以盲打。

因为网站版本不同,有一部分用此程序的站点,可以后台getshell。

lib/classes/googleChart/markers/GoogleChartMapMarker.php

这个漏洞后续还是捡垃圾大队的P7给我的,得给他加个鸡腿。

另外,我已经在web指纹识别平台云悉提交了天恒的web指纹,以后大家就可以识别了。

承诺为大家准备的东西,已经准备好了。

两个admin/123456已经发货了。

这次,大家就别骂我了,有的0DAY是真的不能发出来,发两个这种没啥含量的,没玩过的朋友玩玩就行了。

公众号内回复:漏了个大洞  ----领取您所需要的物资空投地址

扫一扫关注我获取更多精彩!

文由黑子的自我拯救

生成海报
请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net