获取CMS并本地安装
X呼是一款开源的客服CMS系统,访问官网,下载安卓版本的app和源码本地搭建;
发现这cms预留admin表中的用户就不少。。。。
直接用预留的密码解密,然后就能登录手机APP了
APP渗透
在出差模块尝试下存储型XSS;
发现存在XSS
继续测试文件上传漏洞,上传个shell;
分析下返回包,发现返回包里面包含了图片的路径地址;
{"adddt":"2022-05-06 11:17:46","valid":1,"filename":"shell.jpg","web":"xinhu","ip":"192.168.186.1","fileext":"jpg","filesize":29818,"filesizecn":"29.12 KB","filepath":"upload\/2022-05\/06_11174720.jpg","optid":8,"optname":"\u4fe1\u547c\u5ba2\u670d","filetype":"image\/jpeg","thumbpath":"upload\/2022-05\/06_11174720_s.jpg","id":7,"picw":700,"pich":933}
通过CGI解析漏洞,发现写入shell成功;
总结
1,APP测试和web测试本身没有本质性的区别;
2,安卓支持的burp证书是cer格式,可以把浏览器中PortSwigger CA的证书导出就是cer格式;
3,APP测试常见漏洞(逻辑漏洞 越权、密码找回、验证码绕过、支付漏洞 XSS 文件上传) ;
标签:XSS,06,05,渗透,APP,jpg,漏洞,测试 来源: https://www.cnblogs.com/blackfeather-sec/p/16229107.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。