本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。
文章正文
前言
在这家SRC漏洞挖掘过程中,真的防得比较死。这次的操作是通过阅读微信小程序开发文档,终于找到的突破口。目前未看见有这个漏洞的分享,今天分享出来觉得好的话点个关注吧!
实战
在经过大量分析后说实话都没找到洞,有点失落的感觉,在这里找到了一个登录点,如果是你又会想有什么想法呢?
该功能点是通过微信小程序进行扫码登录,先点击个人登录抓个包试下
抓到这个接口数据包,返回一大串加密数据,一脸蒙圈,该接口的字面意思就是获取微信的accesstoken
现在系统有太多这样使用微信小程序扫码登录的功能点了,所以我决定好好的去看看开发文档,以后说不一定能挖到非常多洞。通过开发文档了解到accesstoken是微信小程序的调用命脉
通过抓取的数据包知道上面的个人登录功能点是先获取accesstoken、再调用accesstoken来后去生成二维码。这里直接就获取微信小程序的accesstoken了、相当于无需知道appid和APPsecret就可以拿到accesstoken了,这里补充一下知识点。根据小程序开发手册,如果你获取到appid和secret的话那么就可以直接获取到accesstoken
https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET
利用该accesstoken去在线开发者工具平台上传一张图片证明accesstoken是微信小程序的accesstoken 如下:上传成功:
后续可以根据开发者文档调用很多微信小程序的接口、危害大。还有微信开发者文档规定accesstoken一天只能获取两千次、可以通过该接口不断获取接口accesstoken、从而导致奔溃、后续只要有用到accesstoken的功能点和小程序都会无法使用为了不影响业务在快凌晨12点的时候进行了测试复现Burp不断请求、一分钟不到就获取不到accesstoken尝试进行登录,已经无法获取到二维码了、并且很多内容都是需要登录才可以进行查看的,危害非常大,最终2k赏金成功拿到,可以去撸串了哈哈哈