校园热水系统App测试
首页 > 漏洞    作者:Iamyc   2018年10月30日 19:55 星期二   热度:501°   百度已收录  
时间:2018-10-30 19:55   热度:501° 

昨天水卡没钱了,要下学校的热水系统app充值转账

反正要转账支付,为何不测试一下安全呢(有些app测试,比如要支付,抓包改包,但是,一分钱也是钱呀,对吧。。。)

好的,电脑和手机连上同一个wifi先

手机设置代理:设置-->无线和网络-->wlan-->长按连上的wifi,选择“修改网络”-->显示高级选项-->代理设置“手动”,服务器主机名写电脑ip,端口比如写8080

其他的就默认不用改,点击保存

电脑设置代理:打开burpsuite-->proxy-->options-->add-->bind to port写之前那个端口,8080,bind to address选第三项“specific address”,菜单栏下拉,找到自己的ipv4地址(内网地址,172、192、10开头的)

ok,这时候burpsuite打开intercept is on

然后就看到有数据包过来了,比如这个是qq的包

好的,检测开始

打开校园热水app,然后到充值界面,选个30元,充值,然后看抓包

从这里可以看出,host的域名和3002、3005端口是一些有用的信息,然后金额30也在包里

那我们来3002端口看一下

是个后台没错了,那3005呢?也去看一下

3005居然是个manager平台,一访问居然还账号密码都写好了的?what,what?我承认,我有那么一瞬间激动。。。

然后就想起来之前有篇文章,可以看到密码的明文,是888888,好的,输入验证码,点击“登录”

塔崩。。。操作员编号错误或密码错误,瞬间感觉被套路了

然后接着先去看抓包改包能修改金额不。。。

然后试了良久,不管怎么改,我改成多少,就要我支付宝付多少,感觉要哭了。。。

好吧,那就来拿后台,3002端口那个后台呢

我当时一看到那个界面就觉得问题不大,猜测应该是js判断登录的

好的,首先试试禁用js,firefox输入about:config进去,搜索javascript,然后第二项切换,就禁用了js,再刷新3002端口那个后台

好,还是把我拦在外面了,那试试这个方法,首先把burpsuite从手机代理切换到firefox代理,随意输入一个用户名和密码,抓包

好的,在空白处右键-->Do intercept-->Response to this request,然后放包Forward,这时候看一下

ok,改包,把success后面的false改成true,继续Forward

好的,后台进来了,尽管用户名,密码都是错的,但我还是进来了,心中响起那句话:

天空不曾留下鸟的翅膀,但我已飞过

好的,试试权限,至少读的权限是有的

然而,第一个栏里就这么几条,第二栏里。。。。电脑配置不好的话,直接把浏览器都搞崩了

直接就放那里加载大量的留言数据。。。。。。差评

没有上传点,没有数据库信息,没有写的权限

真是应了那句话:我要这后台,有何用

好了,主要的测试就到这里的,至于其他的什么平行越权,信息并没有什么用,一个学号、姓名、具体寝室

我又不要去抓人,这些信息感觉完全没用

其他倒是没啥敏感信息了,就不用爬虫爬了,就先到这儿吧^  。 ^

二维码加载中...
本文作者:Iamyc      文章标题: 校园热水系统App测试
本文地址:http://lang-v.com/first_cms/yc/emlog/src/?post=45
版权声明:若无注明,本文皆为“YC's Blog”原创,转载请保留文章出处。

返回顶部    首页    手机版本    后花园  
版权所有:YC's Blog    站长: Iamyc    程序:emlog