奇安信攻防社区-小程序Web接口速通案例

小程序Web接口速通案例

很早前GS测试小程序案例，基本没有难点都是先有信息联想从而扩大危害形成一个合集分享发出，案例从易到难，功能点找到接口文档或者Web缺少token反推小程序业务普通用户权限

> 很早前GS测试小程序案例，基本没有难点都是先有信息联想从而扩大危害形成一个合集分享发出，案例从易到难，功能点找到接口文档或者Web缺少token反推小程序业务普通用户权限

**未经同意请勿转载搬运**

### 测试账号未删除

小程序开局需要登录,登录无次数验证上大字典爆破出一个测试账号弱口令登录一个培训账号开始渗透

```php
13888888888
123456
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104698864-4f3c9b5f-7d9e-4047-a7f3-95e0ebd117ec.png "null")

逐一测试功能点发现查询处理正常无信息，通过`%`模糊查询返回其他系统用户信息，那么退出测试账号尝试登录正常用户信息

```php
https://xxxxxx/wwyun/manage/vehicle/selectWxVehicle?projectId=&amp;licenseNumber=
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104698941-bc7ccd01-b3a5-4993-8412-304f2eb62338.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699034-5aef8a78-63f9-48ce-a723-f40c0ca43f5a.png "null")

利用拿到的手机号进行爆破登录他人账号密码，默认密码均为`123456`从而任意用户登录共`145`位用户泄露自身三要素信息

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699104-67933f64-adf1-4043-b03e-07a0e1ca020f.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699186-3a6eb549-37b0-4889-9387-ddb4443303a6.png "null")

不同账号间还有写其他大大小小不同管辖处所泄露，不一一记录主要是渗透的思路要连贯

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699270-929afa43-4ec2-4b73-b4f4-f048e7c304f3.png "null")

`hunter`对小程序`host`信息收集`web`资产，因为我们已经有账号了只需要找到可以登录的后台系统，后台系统往往比操作业务的小程序漏洞量更多价值更大

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699358-081f2ee9-ddad-4d60-9452-f135d653c2ca.png "null")

弱口令成功进入系统后扩大成果方式是配合`xia_yue`插件移除鉴权字段从而判断未授权数据包，在以往发的文章中已有体现这里不过多赘述

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699433-3262481c-bfa9-442b-9586-825f9b84f908.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699522-0814f44f-0d56-4c96-820f-4a09c114bf1d.png "null")

### 递归目录下的Swagger

小程序遇到可以测试功能点的小程序优先测试可以添加人员信息功能，越权和信息泄露往往在其中产生，如活动、保修、反馈等。

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699587-b8f7135c-2222-4ffc-a19f-b3c7a4b73a7f.png "null")

添加活动功能点存在越权`infoId`参数越权起始`id1` 结束`id`为`108082` 共计`108082`份个人信息 姓名电话家庭住址

```php
https://xxxxxx/wx/courseadmin/app/activityAdmin/queryMyActivityDetailByIds?id=1441&amp;infoId=1&amp;communityId=23&amp;community=%E8%A5%BF%E9%A9%AC%E6%A1%A5%E7%A4%BE%E5%8C%BA
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699662-f9aef640-74b5-4419-8c55-f77d6edb8a72.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699727-0ee0fe47-fc63-4f1b-bfec-c197a7efb26b.png "null")

保修工单`id`参数越权，等等几处诸如此类的越权不记录

```php
https://xxxx/wx/propertyrepair/app/queryRepairInfoById?id=231&amp;communityId=23&amp;community=%E8%A5%BF%E9%A9%AC%E6%A1%A5%E7%A4%BE%E5%8C%BA
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699807-644c8255-9391-4bf2-99ce-29e80bc8dd4d.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699881-5b379b28-91da-49a6-9fc6-a1b0028c8d8b.png "null")

`Onescan`递归扫描到一处`swagger`提取接口测试或使用插件携带参数怎么方便怎么来

```php
https://xxxxxx/wx/propertyrepair/v2/api-docs
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104699969-a3c8e382-6f06-4e95-a559-bcfee3e6c618.png "null")

可惜应该`GET POST`和正常拼接文档参数测试只有一处接口返回加载信息，本以为小程序测试到此为止准备记录获取到的信息转而去`web`扩大成果，但一个小细节引起我的注意

```php
https://xxxxx/wx/propertyrepair/web/queryAssigneeByCommunityId?pageNo=23&amp;pageSize=11
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104700090-1297961a-a4d0-44d1-9d55-76dab5801ee5.png "null")

测试功能点时发现接口前置的第一次均为`wx` 而后续第二层则为其他参数值,入如`gwx` 、`communityadmin`、`propertyrepair`，我们在`propertyrepair`参数下递归扫描到了`swagger`文档那么是否其他参数下也有`swagger`存在呢？

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104700163-99a707d0-ef5b-46df-911d-d09cec0316a5.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104700249-065d8039-b533-4c42-9256-d5ff9c7a2a78.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104700349-3722467d-de50-4426-9440-a680f97bcf8c.png "null")

验证猜想方式很简单，对接口逐层删除直到回显正常`200`则表示该接口下是存在其他目录的，响应`404`则该接口并不单独存在

```php
https://xxxx/wx/gwx/wx/
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104700434-7e60de0c-5c19-45e9-bf0d-f631924ae6fb.png "null")

保留`gwx`后回显200证明此目录下大概率还有东西，我们也不知道`Swagger`版本是多少或者是否存在多个`Swagger` 那么可以再后面拼接 `swagger-resources`，它是用于管理和返回 `Swagger` 文档的配置资源信息，返回了正确的文档路径

```php

https://xxxx/wx/gwx/swagger-resources
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104700546-5170c649-a9aa-4f87-9d26-00824095eb06.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104700664-197eee74-030f-491e-82fd-8c9e5780533b.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104700735-3b105aed-ade3-4d55-b771-b8b69d5e880b.png "null")

后对小程序所有功能点参数下的`Swagger`文档进行接口提取后就可以开始`fuzz` 收菜，果不其然一片红，拎几个记录

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104700806-b6b8bd54-b5e7-423e-8854-ca259abd7004.png "null")

小程序用户`sessionKey`+`openId` 在登录时替换即可任意用户登录

```php
https://xxxx/wx/gwx/wx/query/queryWxUserInfoById?id=11i k
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104700876-7f4264b8-7b67-4753-841a-79d44928ed1a.png "null")

订单信息

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1772161077276-e50450d7-a114-4762-882f-d84bebf9a9ae.png)

明文遍历三要素

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104701048-58c3d71f-317c-4412-bcd2-5055c6eec9b1.png "null")

小程序`appserct`泄露等等漏洞.....

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104701119-158089a0-2cc9-4d37-ab34-9663bdfa8c8d.png "null")

后续测试`web`后台但是存在多次登录验证，并且也没有写进动态路由，测试前台接口无反馈只得放弃突破

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104701202-cfecab97-fd5d-48b6-ae6f-b0a8f52aa8dd.png "null")

### Web后台权限复用

几个月前一次渗透任务,当时通过接口拼接挖掘多个信息泄露漏洞,`GET`请求无任何鉴权

```php
/order/shipments/shipmentOrder/export
/order/yayingSale/
/order/sale/page/ship
/order/sale/listSaleOrderByIds
/admin/user-distributor/user/list
/admin/user-distributor/selectSysUserDistributorPage
......

```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104701274-1bf15abd-85fb-4655-94b2-21b8d8cda00a.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104701384-731429a4-408b-4b72-8a7e-6a80ac59b52d.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104701450-2eab9345-a362-4792-b1d0-a5de9ce5e322.png "null")

后续漏洞上报后过了一段时间复测漏洞接口已经全部修复,增加了鉴权代码（列出部分）,常规的`GET POST` 无法直接调用,但是呢既然开发重构了代码必然会有新的逻辑接口问题产生,于是针对此网站又进行了二次渗透

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104701518-dcadc071-1c09-4497-80c5-aecf77bbe3b0.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104701584-26614fd2-008b-4041-b5a4-942f252e549e.png "null")

前后端分离站点,将雪瞳插件捕获到的相对路径绝对路径全部复制到一处文本进行处理,绝对路径是完整的,但是相对路径捕获前置大多会带有`../` 全选替换为空,再将一些带参数的请求添加值并删除一些无用符合接口

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104701650-0d5e04e5-f6b3-4d4d-9d56-bd9c629a615b.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104701765-6ce5b737-7f43-4385-8bf3-4f8644a17608.png "null")

随意输入账号密码抓取一个登录数据包并无前置目录那么使用`intruder`先测试`GET`请求爆破

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1772161265761-f6fbbc11-6193-41b5-9b16-284fd45eb6d4.png)

排序长度并没有出现数据特别大的接口,未修复前`GET`请求跑就可以全部泄露那么再次尝试余下`3`种接口`fuzz`方式,信息量依旧非常少，这时转变思路以往我都会尝试小程序打`web`后台，那么反向来看`web`目前无权限是否可以尝试用小程序`token`来测试接口

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1772161327625-3f15254b-ef4a-4b09-bf90-7df6bc0a6b2d.png)

```php
GET  /order/sale/page/ship?page=1&amp;size=1000

POST 
```

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104702003-cac59336-3233-4df1-8390-e516774512a3.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104702071-1b20055d-5bee-4676-97ca-203d319bd2d5.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1772161354449-7f11e11f-9df5-4ef4-832d-352c3f4a132b.png)

在测试中我发现除却人员信息外还有关于商品、服装、尺寸等信息，结合业务本身就是电商相关+前后端分离，后端提供服务地址大概率也会被小程序用户端复用。结合此思路不出意外找到了对应公司小程序

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104702255-1452e8d8-aecf-4c00-bdf9-b464cb6c2c47.png "null")

注册并登录后果然小程序服务地址和`web`后台接口地址是一致的，并且小程序成功获取了用户的`Authorization`权限字段 接下来的事情就非常`ez`了

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1772161394080-685eb2cb-1892-4c97-9fa8-fe79c7c8adbc.png)

带`token`字段在爆破中重发接口花花绿绿的敏感信息，成功二次绕过泄露诸多系统后信息

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104702419-90f83963-8588-4192-8bf9-da91178dc2ba.png "null")

如`54w` 订单信息包含姓名电话家庭住址，通过控制页码参数和返回的`total`字段确认范围，及大大小小的泄露不一样记录。

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104702487-9f2dc2bc-f127-4d5b-9c03-c18a25dbad63.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104702571-4078b172-d2a7-49c5-ac83-45892ebd89f5.png "null")

![](https://cdn.nlark.com/yuque/0/2026/png/22621815/1770104702732-dc2bd162-0ca6-444b-9c87-3017d8fe868c.png "null")

发表于 2026-03-26 09:52:12
阅读 ( 1323 )
分类：渗透测试

小程序Web接口速通案例

0 条评论