admin/wxvl
1
0
Fork 0
mirror of https://github.com/gelusus/wxvl.git synced 2025-08-13 11:28:20 +00:00
Code Issues Packages Projects Releases Wiki Activity

通过细节挖掘漏洞的艺术、【CTFer成长之路】反序列化漏洞、vLLM框架曝高危远程代码执行漏洞,威胁AI基础设施安全、SRC漏洞挖掘天花板!千万赏金大神亲授秘籍——跟随顶尖大师,成就巅峰之路!、【安全圈】微软Telnet服务器被曝0-Click漏洞:无密码即可控制系统、Apache Parquet Java 远程代码执行漏洞、

Browse Source
This commit is contained in:
test 2025-05-05 12:38:16 +00:00
parent 2f3d1fd163
commit c789a52a0b
7 changed files with 899 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

8
data.json
View File

@ -13595,5 +13595,11 @@
"https://mp.weixin.qq.com/s?__biz=MzkyNzIxMjM3Mg==&mid=2247490240&idx=1&sn=3433a7611ddf3328acdef8b5e6646664": "Ingram【网络摄像头漏洞扫描工具】",
"https://mp.weixin.qq.com/s?__biz=MzkzMzE5OTQzMA==&mid=2247486428&idx=1&sn=dba2f9a759218bb795755ba60f6bff9e": "记某医院APP的一次逻辑漏洞挖掘",
"https://mp.weixin.qq.com/s?__biz=Mzg4NTg5MDQ0OA==&mid=2247487843&idx=1&sn=3f05cfb22255290bf33e9b9b4ccf40b9": "伊朗黑客持续渗透中东关键基础设施VPN漏洞与恶意软件成长期后门",
"https://mp.weixin.qq.com/s?__biz=MzkzNzI2Mzc0Ng==&mid=2247486575&idx=1&sn=d2d394773cde8edaf12cd2425a685ca8": "【极思】一个伪0day的抓捕实录"
"https://mp.weixin.qq.com/s?__biz=MzkzNzI2Mzc0Ng==&mid=2247486575&idx=1&sn=d2d394773cde8edaf12cd2425a685ca8": "【极思】一个伪0day的抓捕实录",
"https://mp.weixin.qq.com/s?__biz=MzkxNzY5MTg1Ng==&mid=2247486990&idx=1&sn=3a3329b11e5d92f5947689341d6bad9f": "通过细节挖掘漏洞的艺术",
"https://mp.weixin.qq.com/s?__biz=Mzg5NTU2NjA1Mw==&mid=2247501714&idx=1&sn=bba783c21689e9c6fbef317b613df486": "【CTFer成长之路】反序列化漏洞",
"https://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651320090&idx=1&sn=cb1b7e4d9fbfa8c98cf0c378da407981": "vLLM框架曝高危远程代码执行漏洞威胁AI基础设施安全",
"https://mp.weixin.qq.com/s?__biz=Mzg3MDU1MjgwNA==&mid=2247487356&idx=1&sn=14b0eb20b4a633044ce2718398120e8f": "SRC漏洞挖掘天花板千万赏金大神亲授秘籍——跟随顶尖大师成就巅峰之路",
"https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652069446&idx=2&sn=b093a02905ad8999ac398713a11bd267": "【安全圈】微软Telnet服务器被曝0-Click漏洞无密码即可控制系统",
"https://mp.weixin.qq.com/s?__biz=MzI0NzE4ODk1Mw==&mid=2652096204&idx=2&sn=36ef86fdfae7678c600231d2565e9eb6": "Apache Parquet Java 远程代码执行漏洞"
}

49
doc/2025-05/Apache Parquet Java 远程代码执行漏洞.md Normal file
View File

@ -0,0 +1,49 @@
# Apache Parquet Java 远程代码执行漏洞
网安百色 2025-05-05 11:26
在 Apache Parquet Java 中发现一个高严重性漏洞 CVE-2025-46762该漏洞使使用 parquet-avro 模块的系统面临远程代码执行 RCE 攻击。
Apache Parquet 贡献者 Gang Wu 于 2025 年 5 月 2 日披露了该漏洞,该漏洞影响了 1.15.1 及以下版本。
漏洞的技术细分
该漏洞源于 parquet-avro 模块中不安全的架构解析。攻击者可以在 Parquet 文件元数据中嵌入恶意代码,当易受攻击的系统读取文件的 Avro 架构时,该元数据会自动执行。
虽然 Apache Parquet 1.15.1 通过限制不受信任的包引入了部分缓解措施,但其默认的“受信任的包”配置仍然允许从预先批准的 Java 包(例如 java.util执行代码。
需要使用 “specific” 或 “reflect” 数据模型(而不是更安全的 “generic” 模型)。
易受攻击的系统必须处理攻击者控制的 Parquet 文件。
受影响的系统
所有 Apache Parquet Java 版本≤ 1.15.1。
利用 parquet-avro 在 Apache Spark、Hadoop 或 Flink 等大数据框架中进行反序列化的应用程序。
缓解策略
Apache Software Group 建议立即采取行动:
升级到 Parquet Java 1.15.2,它通过收紧软件包信任边界完全解决了该问题。
对于卡在 1.15.1 上的系统,请设置 JVM 系统属性:
-Dorg.apache.parquet.avro.SERIALIZABLE_PACKAGES=(空字符串)。
组织还应审核数据管道,以确保尽可能使用 “通用” Avro 模型,因为它不受此漏洞的影响。
安全专家警告说,未打补丁的系统面临供应链攻击的风险,其中损坏的 Parquet 文件会触发后端漏洞。
“这是一个教科书式的例子,说明序列化漏洞如何绕过边界防御,”网络安全公司 DataShield 的首席技术官 Maria Chen 说。“攻击者可以将常见数据格式作为武器来渗透分析平台。”
Apache 团队发布了更新的文档,强调了 Avro 架构处理的安全配置实践。
**免责声明**
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
![图片](https://mmbiz.qpic.cn/mmbiz_jpg/1QIbxKfhZo5lNbibXUkeIxDGJmD2Md5vKicbNtIkdNvibicL87FjAOqGicuxcgBuRjjolLcGDOnfhMdykXibWuH6DV1g/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "")

303
doc/2025-05/SRC漏洞挖掘天花板!千万赏金大神亲授秘籍——跟随顶尖大师,成就巅峰之路!.md Normal file
View File

@ -0,0 +1,303 @@
# SRC漏洞挖掘天花板千万赏金大神亲授秘籍——跟随顶尖大师成就巅峰之路
黑色键盘&小笼包 闪石星曜CyberSecurity 2025-05-05 11:17
![](https://mmbiz.qpic.cn/sz_mmbiz_gif/FFcgFn6WVc3n0zUCzdNk10aziadnYib6p9dusKftO7y84IkdmSAC2GwulnicHGoYy6BS72gY7T2bsSofUrTiczCtgg/640?wx_fmt=gif&from=appmsg "")
00
**小编唠叨**
黑色键盘和小笼包师傅两位SRC 真神手把手亲授《SRC
千万赏金秘籍·真神版》,如果习得一招半式,足以“大杀四方”,更何况你的两位师父倾囊相授,接下来你将逆袭成为......(此处省略一万字,自行脑补!)
更重要的是,你能一对一“掏空”你的师父们,还能不能进一步得到真传,就看各位的机缘咯,至少现在习得的真神秘籍,足以秒杀一切了。
道阻且长,还望各为好好磨炼~
备注:凡提暗号“润霖”或
加微信好友从 Power_7089 处引荐成功报名者即可领取价值649的《JavaWeb代码审计零基础到企业级项目实战》49节视频课程一份帮助大家从代码审计角度理解漏洞原理以及优惠价。另外凡是闪石星曜CyberSecurity学员私聊我报名同样有优惠~
01
**导师介绍**
**黑色**
**键盘**
![图片](https://mmbiz.qpic.cn/sz_mmbiz_jpg/3micyHKRH6UnMbGar3Ne5eVibvhFbhW6icrgrvAm2HicrE3DCQZLaNn82q5Rz7Dl8BX2Kdz70w7DGBY1RicrnGk9S5g/640?wx_fmt=jpeg&from=appmsg&tp=wxpic&wxfrom=5&wx_lazy=1 "")
阿里巴巴核心白帽子;
职业漏洞赏金猎人;
网络尖刀安全团队联合创始人;
连续8年蝉联京东JSRC总榜TOP1
国内多家SRC TOP1级别选手!
累计获得超过1000万漏洞赏金
![图片](https://mmbiz.qpic.cn/sz_mmbiz_png/3micyHKRH6UnMbGar3Ne5eVibvhFbhW6icrKwUzMbiaXR4ic0kgDXSJFaUyWxnI84pHUibP4t0vfUZKLQ1Yiag3HpLIWg/640?wx_fmt=png&from=appmsg&tp=wxpic&wxfrom=5&wx_lazy=1 "")
**小笼包**
![图片](https://mmbiz.qpic.cn/sz_mmbiz_jpg/3micyHKRH6UnMbGar3Ne5eVibvhFbhW6icrDJI60JLeLsGO1dOyEuRiaLJbIGwXgJBP9kiaI8keUliajsUM8wYqWol7g/640?wx_fmt=jpeg&from=appmsg&tp=wxpic&wxfrom=5&wx_lazy=1 "")
阿里巴巴核心白帽子;
职业漏洞赏金猎人;
网络尖刀安全团队联合创始人;
阿里巴巴ASRC总榜 TOP1
连续5年蝉联阿里巴巴ASRC年度TOP1
360SRC总榜 TOP1
荣耀SRC总榜 TOP1
国内多家SRC TOP1级别选手!
累计获得超过500万漏洞赏金
![图片](https://mmbiz.qpic.cn/sz_mmbiz_png/3micyHKRH6UnMbGar3Ne5eVibvhFbhW6icrtxiaQb0IT22bFcZrPxW0uASlJ05Nb8FY1fQ0BCqw1qsxhAmpzQfg4LA/640?wx_fmt=png&from=appmsg&tp=wxpic&wxfrom=5&wx_lazy=1 "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
![]( "")
02
**初衷&经历**
**2012年**
自从导师们初次接触网络安全以来从最初的懵懂探索到如今的深厚积累已有13年之久。
**2015年**
2013年导师们初次加入中国曾经最大的漏洞报告平台乌云网漏洞平台。在这里开始了他们的网络安全梦想之旅。2015年小笼包与黑色键盘在此相识并共同致力于提升网络安全防护能力一起奋斗
**2015年**
同年小笼包荣获阿里巴巴SRC及360SRC年度第一双冠王获“漏洞之王”称号这也只是他的开始...
**2016~2017年**
小笼包再次荣获2016年阿里巴巴SRC年度TOP22017年阿里巴巴SRC年度TOP1及360SRC 20162017年度第一
黑色键盘强势来袭荣获2017年京东SRC年度TOP1
不过,这也只是他们的开始...
**2017~2024年**
小笼包和黑色键盘通过持续的学习与探索在各大平台上不断展示出自己的实力。阿里SRC连续5年TOP1京东SRC连续8年TOP1他们不仅精进了技术还赢得了丰厚的漏洞赏金。荣耀与奖金双丰收成就了他们在网络安全领域的卓越地位
**2025年至今**
杭州阿里白帽大会结束后小笼包决定与黑色键盘携手发起“SRC漏洞挖掘赋能计划”导师们希望帮助更多热爱网安的人实现梦想帮助他们成为大家眼里的“天才”。
(“面对国内数以万计所谓的‘天才’,不禁感慨:‘哪有什么天才,不过是持续不断的努力与汗水铸就的结果罢了。’”)
03
**我们希望**
无论您是零基础的新手,还是已有一定知识储备的探索者,只要您有决心和梦想,导师都热烈欢迎您加入本次网络安全的学习之旅。在这里,您将获得专业的导师指导及丰富的实战经验。掌握最新的安全技术和工具,并通过实际案例提升解决问题的能力。无论您的目标是成为网络安全专家,还是增强个人防护能力,导师们都将全力支持您。
声明:参与本培训项目的所有学员必须严格遵守国家法律法规。所提供的知识和技术仅限于技术研究及安全防护用途,请勿将其用于任何违法活动。因个人行为导致的任何法律后果,均由其本人承担全部责任。导师们坚决拒绝接纳从事黑灰产、违法犯罪等相关活动的人员。请确保您的行为符合道德和法律规范,共同维护网络安全环境
04
**课程介绍**
**SRC漏洞挖掘进阶班【砺剑班】**
小笼包与黑色键盘联合亲自带队凭借十几年的漏洞挖掘经验花费数月时间深入研究和探讨精心打造了这套课程体系。导师们的目标不仅是让SRC漏洞挖掘显得遥不可及更是让每个人都能体会到挖洞其实很简单、体验到挖掘漏洞的乐趣但这只是开始导师们还有更多的计划在进行中。
首批SRC漏洞挖掘进阶班将于
**2025.5.17**
日正式上线,采取周更的模式,导师们每周打磨好课程后,每个周末统一发布。
![图片](https://mmbiz.qpic.cn/sz_mmbiz_png/3micyHKRH6UnMbGar3Ne5eVibvhFbhW6icrbEgCNHicBKXBiaEdNQkgUzrvlAibCQvibic0YJdaZ4POjQ4IgsDFbRESMRw/640?wx_fmt=png&from=appmsg&wxfrom=13&tp=wxpic "")
![图片](https://mmbiz.qpic.cn/sz_mmbiz_png/3micyHKRH6UnMbGar3Ne5eVibvhFbhW6icribMTch8nmhFZlLfYx7wD1ibK8yo6GYWolvoxALZvJ8nu49hlHbz0IQRA/640?wx_fmt=png&from=appmsg&wxfrom=13&tp=wxpic "")
05
**学习方式**
> 录播方式:
**每周更新**
每周更新1-2节课总课时超50+总漏洞案例超100+
**加密视频**
:一机一码,永久可看!
> 会有直播吗?
> 导师们会不定期直播给大家答疑解惑,一起聊聊人生,谈谈理想!
06
**你将获得**
> 1、内部沟通交流对于漏洞审核存在争议问题导师们将给予最积极的帮助
> 2、内部资源共享对于成绩优异的学员导师们将竭尽所能提供工作内推/护网/私密众测等宝贵机会!
>
> 福利多多,不—一列举,欢迎大家联系导师私聊,了解更多!
07
**问答环节**
**问**
**是否支持分期?**
**答**
不支持也不建议分期或贷款,导师们不提倡您提前消费,毕竟学习是一辈子的事,不用急于一时,美好的事物值得等待。当下最重要的是享受生活,追求你所热爱的一切~
**问**
**是否支持退换?**
**答**
基于对“人性”的理解,导师们不支持退款。导师们也希望您能够再三思考并慎重做出选择。通过深思熟虑的选择,您将获得最适合自己的决定。
08
**报名方式**
备注:凡提暗号“润霖”或
加微信好友从 Power_7089 处引荐成功报名者即可领取价值649的《JavaWeb代码审计零基础到企业级项目实战》49节视频课程一份帮助大家从代码审计角度理解漏洞原理以及200优惠。另外凡是闪石星曜CyberSecurity学员私聊我报名有更多优惠~
一次报名,终身学习
![图片](https://mmbiz.qpic.cn/sz_mmbiz_png/3micyHKRH6UnMbGar3Ne5eVibvhFbhW6icrVibcQ21uUdtZfyPaCmUPbXCbuSaniaicBKmm9LcbqP6FDCMqJibibGZnZpQ/640?wx_fmt=png&from=appmsg&tp=wxpic&wxfrom=5&wx_lazy=1 "")
**END**

91
doc/2025-05/vLLM框架曝高危远程代码执行漏洞,威胁AI基础设施安全.md Normal file
View File

@ -0,0 +1,91 @@
# vLLM框架曝高危远程代码执行漏洞威胁AI基础设施安全
FreeBuf 2025-05-05 10:02
![](https://mmbiz.qpic.cn/mmbiz_gif/qq5rfBadR38jUokdlWSNlAjmEsO1rzv3srXShFRuTKBGDwkj4gvYy34iajd6zQiaKl77Wsy9mjC0xBCRg0YgDIWg/640?wx_fmt=gif "")
![](https://mmbiz.qpic.cn/mmbiz_png/qq5rfBadR3ibdLyAkLZJeUjiapk1hM3biaibI8gTCdFF9CVzUW2FiabbDXA2YNaNmgbrIXgM7ibsKibWEH76q1tEkFA1A/640?wx_fmt=png&from=appmsg "")
高性能大语言模型LLM推理服务框架vLLM近日曝出高危安全漏洞编号CVE-2025-32444该漏洞CVSS评分达到满分10分可能通过Mooncake集成组件引发远程代码执行RCE风险。作为GitHub上获得46,000星标的热门开源项目vLLM凭借其卓越的速度和灵活性被广泛应用于学术研究与企业级AI系统。随着大语言模型在各行业的快速普及模型服务栈的安全性显得尤为重要。
**01**
**技术细节**
该漏洞源于vLLM框架中Mooncake集成组件对网络序列化数据的处理机制。具体而言组件通过不安全的ZeroMQ套接字传输数据时错误地使用了Python的pickle模块进行反序列化操作。漏洞核心位于vllm/vllm/distributed/kv_transfer/kv_pipe/mooncake_pipe.py
文件中的recv_pyobj()
函数该函数隐式调用pickle.loads()
处理通过ZeroMQ套接字接收的数据。
**02**
**影响范围**
此漏洞影响所有使用Mooncake集成组件且版本号≥0.6.5的vLLM实例。需要特别说明的是若vLLM部署未启用Mooncake组件进行分布式键值传输则不受此特定漏洞影响。
**03**
**修复方案**
vLLM开发团队已紧急发布v0.8.5版本修复该漏洞。安全专家强烈建议所有受影响用户立即升级至该版本,以消除远程代码执行风险。
![图片](https://mmbiz.qpic.cn/mmbiz_gif/qq5rfBadR39ibFdyjP3Qp8CEJxFWljbW1y91mvSZuxibf3Q3g2rJ32FNzoYfx4yaBmWbfwcRaNicuMo3AxIck2bCw/640?wx_fmt=gif&from=appmsg&wxfrom=5&wx_lazy=1&tp=webp "")
[](https://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651319699&idx=1&sn=127e9ca1a8d55931beae293a68e3b706&scene=21#wechat_redirect)
[](https://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651319591&idx=1&sn=5da9d56b39b3a2fad4071555e9de6b43&scene=21#wechat_redirect)
[](https://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651319257&idx=1&sn=a603c646a53e3a242a2e79faf4f06239&scene=21#wechat_redirect)
![图片](https://mmbiz.qpic.cn/mmbiz_png/qq5rfBadR39ibFdyjP3Qp8CEJxFWljbW1uEIoRxNoqa17tBBrodHPbOERbZXdjFvNZC5uz0HtCfKbKx3o3XarGQ/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "")
![图片](https://mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3icFibibPIGEfXsibI0C3or4BS5KDnCKUfVLVQGsc9BiaQTUsrwzfcianumzeLVcmibOmm2FzUqef2V6WPQQ/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "")
![图片](https://mmbiz.qpic.cn/mmbiz_gif/qq5rfBadR38mFMbqsUOVbBDicib7jSu7FfibBxO3LTiafGpMPic7a01jnxbnwOtajXvq5j2piaII2Knau7Av5Kxvp2wA/640?wx_fmt=gif&from=appmsg&wxfrom=5&wx_lazy=1&tp=webp "")
![图片](https://mmbiz.qpic.cn/mmbiz_gif/qq5rfBadR3icF8RMnJbsqatMibR6OicVrUDaz0fyxNtBDpPlLfibJZILzHQcwaKkb4ia57xAShIJfQ54HjOG1oPXBew/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&tp=webp "")

59
doc/2025-05/【CTFer成长之路】反序列化漏洞.md Normal file
View File

@ -0,0 +1,59 @@
# 【CTFer成长之路】反序列化漏洞
原创 儒道易行 儒道易行 2025-05-05 12:00
# 反序列化漏洞
1.访问url
http://91a5ef16-ff14-4e0d-a687-32bdb4f61ecf.node3.buuoj.cn/
点击下载源码
![在这里插入图片描述](https://mmbiz.qpic.cn/mmbiz_png/v94hWOZcBpzhBqPhhnhjo8gzTALb3vo5dey1ZjNlp7FI37wsSLoibiaeTTlsW0O8mfZuUyOuev9M6Vv9lx3rqCTw/640?wx_fmt=png&from=appmsg "")
本地搭建环境并访问url
http://127.0.0.1/www/public/
构造payload
```
```
POST的参数就是生成的反序列化字符串
```
```
进行攻击
![在这里插入图片描述](https://mmbiz.qpic.cn/mmbiz_png/v94hWOZcBpzhBqPhhnhjo8gzTALb3vo5At6J6O6hLcvEs6S3ZGtBq4tjK1e3tMfZavw0g5tHSFSkWOj4RjnZMw/640?wx_fmt=png&from=appmsg "")
攻击成功,页面回显如下
![在这里插入图片描述](https://mmbiz.qpic.cn/mmbiz_png/v94hWOZcBpzhBqPhhnhjo8gzTALb3vo5nlxonGPApEXSrveQHzHUo3WJzyQHo55OmvjuCNFSE4VSgibZGGGibqFA/640?wx_fmt=png&from=appmsg "")
访问url
http://91a5ef16-ff14-4e0d-a687-32bdb4f61ecf.node3.buuoj.cn/
构造payload
```
```
POST的参数就是生成的反序列化字符串
str=O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%
进行攻击
![在这里插入图片描述](https://mmbiz.qpic.cn/mmbiz_png/v94hWOZcBpzhBqPhhnhjo8gzTALb3vo5q8Q15mibqdxvboRia4v9dHJPGia1Nopm7DQjlqhmyN5OI0zAlvgiciaxkdA/640?wx_fmt=png&from=appmsg "")
攻击成功页面回显如下拿到flag为n1book{de70641304640057390e8fabc8b515bf}
![在这里插入图片描述](https://mmbiz.qpic.cn/mmbiz_png/v94hWOZcBpzhBqPhhnhjo8gzTALb3vo5BNVGDF0jL2asgM2EzNgia8VyPtP25icVvaqtFJIG9DTgRteD2PpAibD1Q/640?wx_fmt=png&from=appmsg "")
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。
转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

74
doc/2025-05/【安全圈】微软Telnet服务器被曝0-Click漏洞:无密码即可控制系统.md Normal file
View File

@ -0,0 +1,74 @@
# 【安全圈】微软Telnet服务器被曝0-Click漏洞无密码即可控制系统
安全圈 2025-05-05 11:00
![](https://mmbiz.qpic.cn/sz_mmbiz_png/aBHpjnrGylgOvEXHviaXu1fO2nLov9bZ055v7s8F6w1DD1I0bx2h3zaOx0Mibd5CngBwwj2nTeEbupw7xpBsx27Q/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "")
**关键词**
漏洞
科技媒体 borncity 4 月 30 日)发布博文,报道称微软 Telnet 服务器存在高危漏洞,**无需有效凭据即可远程绕过身份验证,直接访问系统,甚至能以管理员身份登录。**
****
该漏洞名为“0-Click NTLM Authentication Bypass”攻击者可利用 Telnet 扩展模块 MS-TNAP 中 NTLM 身份验证过程的配置错误,远程绕过身份验证,直接以任意用户身份(包括管理员)访问系统。
这一漏洞被归类为高危级别其概念验证PoC代码已在网络上发布。不过该漏洞仅影响较旧的 Windows 系统,从 Windows 2000 至 Windows Server 2008 R2。这些系统早已退出主流支持仅部分通过扩展支持更新ESU获取有限维护。
专家建议检查并禁用 Telnet 服务器功能。据悉,在这些 Windows 系统中Telnet 服务器默认未启用,但若被手动激活,则存在巨大安全隐患。
![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/aBHpjnrGylhmLgOOL8k8Fic9iaqHu2icsmDzhkyR9yF0rpj5R1CrhQYIJRrHHthxNNhRCfcaFm4PZtiaKicQUeibWH9w/640?wx_fmt=jpeg "")
  END  
阅读推荐
[【安全圈】天津市破获一起“扫码领鸡蛋”个人信息贩卖案](https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652069434&idx=1&sn=e2f2f03c03e7a3796d3f1c7f7ba7936b&scene=21#wechat_redirect)
[【安全圈】TensorRT-LLM高危漏洞可导致攻击者远程执行代码](https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652069434&idx=2&sn=d5df9c61dfde5337bda54bd34af3c2af&scene=21#wechat_redirect)
[【安全圈】7 个恶意 PyPI 包滥用 Gmail 的 SMTP 协议执行恶意命令](https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652069434&idx=3&sn=b1aa5eaeefb5067a413edc8afb26842b&scene=21#wechat_redirect)
![](https://mmbiz.qpic.cn/mmbiz_gif/aBHpjnrGylgeVsVlL5y1RPJfUdozNyCEft6M27yliapIdNjlcdMaZ4UR4XxnQprGlCg8NH2Hz5Oib5aPIOiaqUicDQ/640?wx_fmt=gif "")
![](https://mmbiz.qpic.cn/mmbiz_png/aBHpjnrGylgeVsVlL5y1RPJfUdozNyCEDQIyPYpjfp0XDaaKjeaU6YdFae1iagIvFmFb4djeiahnUy2jBnxkMbaw/640?wx_fmt=png "")
**安全圈**
![](https://mmbiz.qpic.cn/mmbiz_gif/aBHpjnrGylgeVsVlL5y1RPJfUdozNyCEft6M27yliapIdNjlcdMaZ4UR4XxnQprGlCg8NH2Hz5Oib5aPIOiaqUicDQ/640?wx_fmt=gif "")
←扫码关注我们
**网罗圈内热点 专注网络安全**
**实时资讯一手掌握!**
![](https://mmbiz.qpic.cn/mmbiz_gif/aBHpjnrGylgeVsVlL5y1RPJfUdozNyCE3vpzhuku5s1qibibQjHnY68iciaIGB4zYw1Zbl05GQ3H4hadeLdBpQ9wEA/640?wx_fmt=gif "")
**好看你就分享 有用就点个赞**
**支持「****安全圈」就点个三连吧!**
![](https://mmbiz.qpic.cn/mmbiz_gif/aBHpjnrGylgeVsVlL5y1RPJfUdozNyCE3vpzhuku5s1qibibQjHnY68iciaIGB4zYw1Zbl05GQ3H4hadeLdBpQ9wEA/640?wx_fmt=gif "")

316
doc/2025-05/通过细节挖掘漏洞的艺术.md Normal file
View File

@ -0,0 +1,316 @@
# 通过细节挖掘漏洞的艺术
菜狗 富贵安全 2025-05-05 08:49
### 低价享受高价
锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格也不同上,包括成人价格 儿童老年人优惠等,站点特征明显,厚码叠甲 选择一个目的地出行,然后下单记录数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjnm6aTWRnc9foJHm6KE2fLO1qlhwXd3wwld9l9icpQdL0dR3XQUunxRg/640?wx_fmt=png&from=appmsg "")
选择一个目的地BP记录到了创建订单的接口shipgateway/shipOrderApi/createOrder 创建订单观察到并没有sign
校验字段,存在问题可能性较大。遂将这个接口发送到重发器进行修改测试
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjvqYXMuzxcDqYyLzxXkicanUM9Vr6lZXwVyR3SCefa5xoicmJL34MbpuA/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjG0ltaSKY3hZaSLnW0gQoAlxrcHvpLiaL9Iq2WLBkuQY1Pm1gdXnlNiaQ/640?wx_fmt=png&from=appmsg "")
测试支付漏洞我喜欢搜索数据包price
价格 每个字段都改变为最小的数字,再逐一发包创建新订单 但并未起效,订单也还是正常票价, 说明决定订单总价的字段并不是price
 而是订单其他参数,目的地、票价类型、乘客类型都有可能,;而后开始对每个存在字段的数字增增改改 观察到底是哪个字段可以影响订单的生成
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjVszWbUbq0WIhFulpa4jbPpoyRlZH3VIYvHKqnHNSWgqtSne0HZwsKQ/640?wx_fmt=png&from=appmsg "")
修改到passengerType
字段为2响应包显示 价格不匹配 ,根据字段意思推测这里决定用户的类型身份,正常情况的1为成人,2则是其他的类型得到响应包线索后,现在我需要知道其他passenger Type
类型对应分别是哪些用户,业务提示很明显了,成人类型为1 那么ticketPrice
票价为100
业务推敲一下也就是对应下列
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjLrdy5TgKUohkJ6NYZvZ0ZJ99omKIe5aB1o4ic1DxtdOz564j9LSZ2Ug/640?wx_fmt=png&from=appmsg "")
经过测试passengerType
字段和ticketPrice
价格字段挂购,二者需要一起修改,单独修改为固定的价格则会响应价格不匹配, 两个字段需要一起满足才能达到对应身份的票价
```
ticketPrice=票价  passengerType=成人类型成人:  passengerType=1 && ticketPrice=100儿童:  passengerType=2 && ticketPrice=50长者:  passengerType=3 && ticketPrice=50
```
那么改两个字段为其他儿童类型所对应的价格,成功以成人身份证生成低价学生票订单,并且身份证还是原本成人
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjFw0ZjmXsQ5BxOCKtrJqw5FlezYtickZOJlicGDiaRwz4VUfvZEiaInjxZw/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjHboosrAmpxw3Z7Hp7WwlIZObdGDZZwb2jXVPTrIJIU55kK1g05WNmg/640?wx_fmt=png&from=appmsg "")
这个时候我想再提高一下危害, 既然订单的价格是由用户类型所关联的价格决定了,我是否可以自主的再次修改增值的业务参数呢?享受到最高的优惠, 船票分为上等中等, 利用普通订单价格享受高等舱位服务,通过对比普通舱订单和头等舱位订单定位到seatId
字段决定了舱位等级
```
"seatId":1# 普通舱"seatId":0# 头等舱
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjImUPhWXlfY3d9FNBUAV1vA6EBpx2R9UIjKzWSOibUAlyuJ3jibrn9Lgg/640?wx_fmt=png&from=appmsg "")
在中等舱数据包中,当我把三个字段都修改好后,订单虽然可以创建成功,但是舱位的类型还是中等舱,价格反而变成了头等舱的价格, 思考一下,既然在中等舱无法直接修改成高等舱,那我生成高等舱的订单,把它的用户类型、票价、舱位3个字段为最低的层面尝试绕过
```
"seatId":0// 头等舱  passengerType=2// 儿童类型ticketPrice=50// 儿童票价
```
当这样修改后就可以成功创建高等舱位的低价订单,后端只是校验了 决定价格字段和类型字段间是否是一一对应,对当前舱位字段没有限制, 可以单独的去修改seatId
字段控制舱位价格
```
"seatId":1// 中等舱passengerType=2// 儿童类型ticketPrice=50// 儿童票价
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjhtQ0o6p7Pjoicy8tzNiaLDMcxRjV1yQEN8hQyqBch3xereYrMnM8A8zw/640?wx_fmt=png&from=appmsg "")
成功生成正常可以支付的订单
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjc8pDWDAZc5CaKLRYHnkQYbhVpPGkDtichGdMWqC8qzkDkZuUTqVpusw/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjKicL4bChFFnic4GkHIqgiaz9AllnYeX5EcQABIzbnJ0yRCEfyVdCibnVPw/640?wx_fmt=jpeg&from=appmsg "")
### 0元购思路
同样还是这个业务站点,有的船票是存在携童免费措施的,有的没有,那么将我的身份伪造为更低的是不是就可以0元上船呢
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdju5du3jick7ebWrdCuQicH03n5hXjvx8v4N1mBU4X4XU2DSs2Pf5CnxEw/640?wx_fmt=png&from=appmsg "")
但是这里不能直接通过上面的手法修改类型、价格, 测试发现决定是否免费的关键是身份证的处理,身份证需要是儿童的出生年月,但是添加乘客接口是身份证大多是实名认证,我不清楚验证的原理是什么,按道理前端了身份证号对应的身份证,说明是后端查询到了, 但是我在BP里面拦截这个数据包又可以修改,说明并没有走后端,那么一开始的前端验证是什么逻辑呢,有懂的师傅可以解释一下,难道身份证认证的接口放到前端查询吗,可能是调用了身份证的接口
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjJ09yuibKFwyHsMT937MD2ejoXrjMcwFFAKfO6axpfplSXvzFSBtPQ3Q/640?wx_fmt=png&from=appmsg "")
首先添加正常的乘客信息绕过验证,找到添加的数据包 修改身份证和日期为儿童的,往大了写就可以,这一步如果身份证有婴儿身份证的话可以不用,或者自己有牛逼的sgk
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjkribqEGY5wJXF1zibSf4DElHmGcwGQb4cSRDicozaTaJaFqDWGqQvzqHg/640?wx_fmt=png&from=appmsg "")
那么现在已经有了儿童的身份了,但是还需要在下单的时候把身份证修改回来,不然买的票身份证不是自己的买了也没用,找到一处可以携童免费的船票,选择上面添加的携带乘客信息,选择免费的票
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjcw8ux9GSLAh6KQl6YqibH8sfB4ib3GA6BibobNX3BZAglvnZIib5qLKheQ/640?wx_fmt=png&from=appmsg "")
儿童免费票不能独立购买需要携带一名成人,正常添加一名成人乘客,然后正常下单记录接口
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjAYEr2TlC43wIwqY4FP4NQcXkMf9rjxBrIQUpksszpG9x7ZwxevZa4w/640?wx_fmt=png&from=appmsg "")
抓取到创建订单接口发送重发器,上方为添加的成人,下面则是免费的儿童身份儿童身份证,出生年月为自己修改的2022年身份证
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjXQjQcaonWianInOIiagZ1SFXK9Zd86vyBmpaI8SB2Xib1PKPjeGdjVkDA/640?wx_fmt=png&from=appmsg "")
朴实无华的将出生年月及其身份证号修改为自己本人的身份发包,成功创建订单
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj2ibnojf7t6oPn6ZLF4HPDHK7ZOkBQqs56WiaLaFcqvFLvZ8hKg2RQzicQ/640?wx_fmt=png&from=appmsg "")
一份钱买两个成人的票 0元上船,但是无奈这个点后续虽然可以支付订单 但是会自动退票,或者会有人工客服打电话来,审核回应SRC
排查过这个点
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjibCD7OWXJRwnm3wATtj35eNJ4uXxueGdurIZpLfg42ibZ6S9GWx1kf2g/640?wx_fmt=png&from=appmsg "")
### 输出点思考
生成订单后出现的订单号,查询订单的接口会回显当前订单的乘客信息三要素,经过大小号替换订单号测试,是可以越权查询到他人的订单信息要素的,但是此订单号无法遍历,在网站其他功能点都没有找到可以出现订单号的地方,评论区 投诉 都没有
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjgrOr15jd9HuBXIwlE8cUzDTZvaaQlaXXicG8wbwE3Dd3oRLhcHzWNEQ/640?wx_fmt=png&from=appmsg "")
虽然无法利用,但是这个接口引发了另一种思考,订单号查询正常只返回订单对应乘客信息,但是这里却返回了用户的凭证字段
```
"openId" :  "xxxxx","unionId" : "xxxxx"
```
这两个字段都是鉴权字段,有了此字段的就可以跟替换Cookie一样替换别人的身份其他人的操作此小程序所有增删改查功能点,当前虽然开着Hae但并没有相关的规则字段正则所以匹配不到,真的是细心才能发现,如果这个订单接口可以继续利用遍历的话,再结合返回的这两个字段,整个小程序用户信息全部会被接管,所有乘客三要素包括小程序所有功能点
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjDLYRc9iaLAZUUwZ9ev1sKGetFQ0WlyaDicUbIsFJPzlunEdNuZP3dKhw/640?wx_fmt=png&from=appmsg "")
**总结**
虽然这个订单接口无法遍历继续的去利用,但却有了新的思考,不经意的响应包可能会带出其他的信息,发在攻防社区另一篇文章,https://forum.butian.net/share/4163介绍了这个情况,借鉴了L@2uR1te师傅的文章《如何寻找参数的蛛丝马迹》[https://mp.weixin.qq.com/s/kSxl_VM2dQbkBQEE_DQrPQ](https://mp.weixin.qq.com/s?__biz=MzkzNTUwNTg2Ng==&mid=2247483882&idx=1&sn=7bec8923088f61f371bcd425f3067956&scene=21#wechat_redirect)
讲的很清楚,输出的参数拿到输入点去使用会有不一样的惊喜,只要一个点可以越权查看到别人的某些东西,把他人信息的铭感的参数收集下来替换到其他输出点使用,尝试是否能看到对应的信息,鉴权字段往往不是每一个功能都固定的,它可以接收某些其他参数发送请求, 在我看到输出订单号可以返回铭感信息后,第一时间就是找其他输出其他用户信息的功能,评论区 投诉这些,和这个思路是相同的
### 全站收货地址泄露
日常逛资产,挑选到功能点相对多的小程序,业务是购买商品,有很多的支付漏洞包括逻辑漏洞可以测试
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjstQuoaMJpLxgrv7z3Gia7Z1OknTRB8pBYc1WMINF3xgvRuWiah2rGpBQ/640?wx_fmt=png&from=appmsg "")
测试到地址管理功能点下列是查看我自己的地址list
 出现了地址的id号 13313 13314
 不等,小程序功能点大多使用JWT
鉴权,对JWT
尝试了常见攻击手段均无法绕过,
```
/buyer/address/list/
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjXzGchqXpYKlQbCBhhYrxaLqPLyRfbMngTwUk0HzcO2Ff3XoIA2DoQg/640?wx_fmt=png&from=appmsg "")
测试小程序购买商品功能 正常选择收货地址,然后正常下单记录数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjr4zxSQiaqMmgPUH2V4cHoGic8hob8cUaV8hyib8BH6dIiaVuYscSRx7CIQ/640?wx_fmt=png&from=appmsg "")
buyer/product/retail/submitOrderPa接口记录的参数是商品的价格还有斤数,都是明文的信息 直接一手0元购测试没有效果都和后端做了校验
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjMl4uPAQqQPmuibyUGS8ZVUXevZXr0dSdwkQkxIwlF2gQma0uhBB8W0w/640?wx_fmt=png&from=appmsg "")
但是注意看这里的addrId
不就是对应了收货地址的id
嘛,都是可以遍历的收货id
 将它修改为其他地址的id
 那么再生成订单是不是可以成功看到别人的地址呢,修改为12000
,然后生成订单回到小程序看订单收货地址
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjUK8Ug7sGrYum93cmWOfL1a83D2O6zgU26CWndmay9SDelTofApcOZg/640?wx_fmt=png&from=appmsg "")
成功的拿到他人收货地址包括手机号
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjNNX4KEtMVJYUj4fTpibyicRNXafI1nVW2PhLIUjjEELtQ0ztt15oQGuQ/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjjM9d8CmC9iaLNzKfAnMYSnMvicsHakiasIMsicWY4wVtJeKLQ9oRibIibNicw/640?wx_fmt=png&from=appmsg "")
手机号是脱敏的手机号,提上去肯定是危害没那么大的, 不过一般都是前端脱敏的,可以强开F12看看源代码因为在这个站测的比较久业务点也明白,利用一个查询订单号的接口就可以得到脱敏的信息,得到了别人的信息就可以利用其他的功能点扩展,这也是上文我也说的思路
通过这两个创建订单接口和查询订单接口拿下全站收货地址包括二要素信息
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj4iaUwkL7icj8M4ZKWsE5uZ8tAI43mqpicrbk7sfo6s8abNVNibktiaxLb9A/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj62sFWRkcTbmHGKVfqGo7VYuVAsn1EvBib62YJ1zJ0CIa5bR7p6PJicTg/640?wx_fmt=png&from=appmsg "")
### 简单的0元
经典日常补天找项目打猎(捡垃圾),公司名直接微小程序,名称对大多不会搜错(这里翻车),功能点文创商品可以购买
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjYszje12qartw2icucibibM7YrIN09kVhrP3icBibaaMJ6Bbr7oBic3xBo6hQ/640?wx_fmt=png&from=appmsg "")
选择一个最贵的商品选择下单支付 停留在待支付页面打开我们的BP
捕获后面的数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjfgDjkE3p4yr376X5r5DTliajCdJE73vwkPVwaKs78HnFQGnlXJWHG3w/640?wx_fmt=png&from=appmsg "")
在支付界面打开BP
拦截,拦截每一步请求找到决定价格的数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjjO4ZINHrXd2icQOUsVBwx9t3ahh6SbrJ9RacubAUqLkpjw8Dnhwp2iaw/640?wx_fmt=png&from=appmsg "")
看到totalFee
 费用 直接修改totalFee
字段总费用为10
 也就是1分钱,放掉所有包直到出现扫码二维码
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjd7e3vbLrW8hAMO8hbUwYez7mAqVgCv9e9CeNCD9y5hrtDibV6z1UKiaA/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj87MfZf8JHbD1h7sbZ4VXBPAqeyp8yALGib02tBgyM9UDu65qXtw4r1A/640?wx_fmt=png&from=appmsg "")
扫码支付成功0元
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj0JxiaOcLgwfLS3Xr8ZKwd7TLpibDiaOVLQUEdB9XK5bofaJQ3ZjYAh7BA/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjeDL5ExO2ibgz5SVib9AM8yia2HrFEb7ibbrsaHFJAS6Pw4NszP68OevutA/640?wx_fmt=png&from=appmsg "")
难掩激活火速通知好基友 今晚摆两桌,这种改价格的洞被我捡到了
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjHdjmc40ibjHKnAhHSnFTZkDGuCpulxPCicPhnYunnpbEHibUrpDibgN1Ew/640?wx_fmt=png&from=appmsg "")
老实了 厂商限定了测试的域名当时没注意看,因为很多域名想着应该不会歪, 结果去资产列表CTRL+F
完全对不上host
,反应了前期信息收集的重要性,撤回摆两桌 只能恰两个馒头了
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjunZxlctsSvnSiaIEzzf68HYtQkF6z4V0xoQ03wQjljGKrtp4Mecz81w/640?wx_fmt=png&from=appmsg "")
### %模糊查询配合size 信息泄露
经典小程序开局注册并登录.打开BP记录所有功能点数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj7Gdl1HEYzqv8JGwolk91JRyfjmL86yqnoOIqChQW4SxsJxrb7WC5dg/640?wx_fmt=png&from=appmsg "")
输入一个符号*模糊查询 匹配到所有公司 BURP抓到了记录铭感信息的数据包
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjm7dlv5H9wTObkOrcuia2F7OLqeHiauwF0ZMKLOpY1YHMo07KyoGyedhw/640?wx_fmt=png&from=appmsg "")
把这个包发送到发器 数据很少 只有十几条数据
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjOTsia1VOuL7nDx8gu4Kd8Lc13eice72u4LdTgZ1RMOQuCvBZxnib6hr6w/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjYicOLxaq5iarX2xhPXNUp7ZhThtPXiadQD7ycfDOEkE6g226HFeDnTcAA/640?wx_fmt=png&from=appmsg "")
修改这个请求的size字段=9999 让显示的公司字节数据变多,使其显示更多的铭感信息
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj8Ezj7oHOfPZB1JN6klfDnk0OHVfrgSHg2EMOa68CTunic9zmv3vAXXA/640?wx_fmt=png&from=appmsg "")
拿下推荐岗位功能所有公司联系人的二要素信息
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjBWwEIwFxmrBlGcxTQUacHNhCUdcibBkfNic9v7505Vo32ibmS8aq7Hyew/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjmSico1KQhsVCyibPM3PzveSHymmBQxUVy21uNKqRPtAVsMa1RgaaMFQA/640?wx_fmt=png&from=appmsg "")
其他功能点均存在此问题,大部分都是页面只能看到企业联系人姓名,打电话联系也是虚拟号码,但是在响应体中确会显示所有的手机号码和姓名,小程序业务也是求职里面包含大量的公司企业,通过响应包缺陷+模糊查询*+size字节+Hae神器匹配整站企业联系人二要素全部泄露,并未全部列出但目测2w+条
培训模块
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj09thDs8t4NMdpaD5S0okKCLZCzJG7NDvvqp1UfhjgQ1vvpdLhuWKyw/640?wx_fmt=png&from=appmsg "")
大龄工作
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjYribuDcGcJhQIl8wa2Ok4FhdicsHCXcHFjxnEPJ9z6oRagYCj1bx11kA/640?wx_fmt=png&from=appmsg "")
社会招聘
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjyFoxSLYt3XEicl1ATg9oXfWtMo3eewNo577rHeDMKpkj4W7zttqNibqQ/640?wx_fmt=png&from=appmsg "")
见习岗位
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjGr5vPef2ycBOE7ibd5wMtyJZdAXIVib3icR3TSvZuvdhrHvvBbvR9R3Rg/640?wx_fmt=png&from=appmsg "")
..........
### 论坛渗透
经授权对一个社区论坛测试,不得不说 除了SRC外 互联网站点大多比较脆弱,如果有技术并且又不老实的 犯罪成本太低了,网络安全任重而道远,基本全是简单的鉴权问题,有的是压根没鉴权,有的鉴权字段写了但是并没有生效,简单记录几个有代表性的问题
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjTdQKl3jicQDTZrQnteiawNeqoqgqPicoqb6icQytmoj1NoVvWGEyBoXznw/640?wx_fmt=png&from=appmsg "")
#### 帖子置顶0元购
BURP渗透抓包工具抓取小程序的数据包 在主页点击发帖功能 ,下面有一个功能是花钱对帖子置顶
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj08LWg84ibbyib6aN3WrptBAg8g77IvbFciarIKaHAmbeP93utbM7gDrRg/640?wx_fmt=png&from=appmsg "")
随意输入帖子的文案 然后点击发布后置顶[/api/client/topics/pay_configs] 接口显示出了对应的价格字段还有所持续的时间
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjMicmteZKIUmRcH6qGW3j9Zox3rj9zqbah8nKibbh2PVKjw9Hk0eQ9b6A/640?wx_fmt=png&from=appmsg "")
正常走发布帖子的流程,记录所有接口 这个接口数据包回显了对应的价格字段 并且没有对应的sing或者加密一类的东西和后端做校验,等于是前端校验价格还有置顶的时间,然后后端就返回了生成订单,那么我们篡改价格并且拉成时间就造成了漏洞问题了 /api/client/topic_top_orders
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj2icOmooSUFeEUpf03NIKyKMDsfiad7BUBLsjyQvLRJlHn3bls56XXqtA/640?wx_fmt=png&from=appmsg "")
修改对应的价格还有时间 会生成新的订单号,完全前端校验
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj9wTNGPF2erbtNj0TTsIlLCkuk0yDeopQCX5icYbt0YAPY9ibice6FUibtQ/640?wx_fmt=png&from=appmsg "")
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdj6uCa1ukO4KKpZVx2MDbzA8XRkOYl39MYTC6VxSE0ujp2XWlKAiarprQ/640?wx_fmt=png&from=appmsg "")
发布帖子置顶付款的业务流程是这样的三个接口
```
/api/client/topics  帖子内容文字和标签/api/client/topic_top_orders  置顶的价格生成订单号 这里进行篡改payment/wechat/preorder/topictop/tp2025021408581339  请求后端付款
```
第三步接口利用第二步生成的订单号去跟后端请求,后端反馈加密还有付款的信息,但是这里加密完全没有作用,哪怕是一个空订单后端都会返回支付参数,加密完全是摆设,订单号也没有做比对
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjI16CMqbzETtGhwoataKpCnQoib5FeLY6qsauAeibexdqNbMzrRmwS7kQ/640?wx_fmt=png&from=appmsg "")
知晓了业务流程后续就是BP抓取生成订单的数据包 api/client/topic_top_orders 进行拦截篡改操作 价格改小就可以完成0元购,点击付费 就会拦截数据包修改价格然后一直放行就行了出现付款的选择 选择二维码支付 扫描付款就行了
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjqWKHLWWNK9wX82NdMt4Dy77uWsoPiamj5drOkrQSdUsgdcnjyyWeH8g/640?wx_fmt=png&from=appmsg "")
#### 文件上传泄露阿里云sts
在每一个上传图片的功能点 头像 帖子 图片 上传会后端会返回阿里云的sts临时凭证 ak sk 还有存储桶的信息
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjnrJvqyMwe90OLK7XdWAuuHqr43NTtyq6tnSqW2zAaCnxVZrjCO9ibnw/640?wx_fmt=png&from=appmsg "")
有了这些信息最大是危害是利用凭证登录这个阿里云桶从而接管整个小程序里面存储的图片信息,或者是利用脚本来进行覆盖小程序内所有的图片
```
api/common/ali_oss/temp_sign?scenc=1
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjibFA3RBNHGGQr7GD0SrpUP3bYBzv9rEMcatxQgVgVSib8ptVekqkQmHg/640?wx_fmt=png&from=appmsg "")
#### 越权让任意跑腿者主动接单
小程序存在跑腿赚钱功能,用可以接单的骑手号去接一个没有被接单的订单, 记录接单的请求
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjAYSF5icc1KAibHnnPLeo1Ql5qlo5fvAVZyepomAs4vLbPeB35Bz87HhQ/640?wx_fmt=png&from=appmsg "")
操作这个接口,替换订单号为任意的,跑腿者身份为别人的,可以任意指定谁去接谁的单,经过测试替换别人身份是可行的,订单号以及跑腿者的身份利用其他功能点的输出就可以得到
```
errand_order_no  当前订单是什么errander_id   跑腿者的身份
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/veA9QmcJk5kxKS4pAKNsJutdZv6xSrdjRUYbmpnr0QLC29H6B3FAiaB2DJ2ZGNFicSpetwmibCnWia8hNcV5vz6HwA/640?wx_fmt=png&from=appmsg "")