ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

【原创】记一次对X呼APP的渗透测试

2022-05-06 16:00:27  阅读:209  来源: 互联网

标签:XSS 06 05 渗透 APP jpg 漏洞 测试


获取CMS并本地安装

X呼是一款开源的客服CMS系统,访问官网,下载安卓版本的app和源码本地搭建;

image-20220506092537953

image-20220506100925732

image-20220506100958704

发现这cms预留admin表中的用户就不少。。。。

image-20220506101627465

直接用预留的密码解密,然后就能登录手机APP了

image-20220506102500258

image-20220506102621161

APP渗透

在出差模块尝试下存储型XSS;

image-20220506104407033

发现存在XSS

image-20220506105007016

继续测试文件上传漏洞,上传个shell;

image-20220506105924367

image-20220506110012603

分析下返回包,发现返回包里面包含了图片的路径地址;

image-20220506110053922

{"adddt":"2022-05-06 11:17:46","valid":1,"filename":"shell.jpg","web":"xinhu","ip":"192.168.186.1","fileext":"jpg","filesize":29818,"filesizecn":"29.12 KB","filepath":"upload\/2022-05\/06_11174720.jpg","optid":8,"optname":"\u4fe1\u547c\u5ba2\u670d","filetype":"image\/jpeg","thumbpath":"upload\/2022-05\/06_11174720_s.jpg","id":7,"picw":700,"pich":933}

通过CGI解析漏洞,发现写入shell成功;

image-20220506112021969

总结

1,APP测试和web测试本身没有本质性的区别;

2,安卓支持的burp证书是cer格式,可以把浏览器中PortSwigger CA的证书导出就是cer格式;

3,APP测试常见漏洞(逻辑漏洞 越权、密码找回、验证码绕过、支付漏洞 XSS 文件上传) ;

标签:XSS,06,05,渗透,APP,jpg,漏洞,测试
来源: https://www.cnblogs.com/blackfeather-sec/p/16229107.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有