【原創】記一次對X呼APP的滲透測試
獲取CMS並本地安裝
X呼是一款開源的客服CMS系統,訪問官網,下載Android版本的app和源碼本地搭建;
發現這cms預留admin表中的用戶就不少。。。。
直接用預留的密碼解密,然後就能登錄手機APP了
APP滲透
在出差模組嘗試下存儲型XSS;
發現存在XSS
繼續測試文件上傳漏洞,上傳個shell;
分析下返回包,發現返回包裡面包含了圖片的路徑地址;
{"adddt":"2022-05-06 11:17:46","valid":1,"filename":"shell.jpg","web":"xinhu","ip":"192.168.186.1","fileext":"jpg","filesize":29818,"filesizecn":"29.12 KB","filepath":"upload\/2022-05\/06_11174720.jpg","optid":8,"optname":"\u4fe1\u547c\u5ba2\u670d","filetype":"image\/jpeg","thumbpath":"upload\/2022-05\/06_11174720_s.jpg","id":7,"picw":700,"pich":933}
通過CGI解析漏洞,發現寫入shell成功;
總結
1,APP測試和web測試本身沒有本質性的區別;
2,Android支援的burp證書是cer格式,可以把瀏覽器中PortSwigger CA的證書導出就是cer格式;
3,APP測試常見漏洞(邏輯漏洞 越權、密碼找回、驗證碼繞過、支付漏洞 XSS 文件上傳) ;
