实战|某棋牌app渗透测试
2023-3-17 10:45:38 Author: 鹏组安全(查看原文) 阅读量:44 收藏


现在只对常读和星标的公众号才展示大图推送,建议大家能把鹏组安全设为星标”,否则可能就看不到了啦

开始打牌

只扔过来一个链接,其余什么都没有,打开链接就一个下载页面然后点击下载即可开启“致富”人生。现在很多棋牌都是这种套路直接扔一个静态页面下载软件开玩。真的是能省多少省多少。

废话不多说下载app扔到模拟器测试。

模拟器打开如下:

点击没反应,以为是模拟器的问题于是换个模拟器继续测试发现问题一样。猜测是检测模拟器与手机。现在很多棋牌app都是会检测模拟器的,发现是模拟器运行会各种错误。

于是手机安装:

发现可以正常运行。实锤了是检测模拟器与手机。

app渗透的本质和web渗透区别不大,抓包测试。不过app的数据包有时候在pc打端不开因为不是web服务。

开始抓包

游戏打开的时候会自动更新,更新数据包如下:

某某的一款app,目测是其中一个app还有很多个这样的app的。

进入游戏界面抓包:这是注册后进来的首页数据包。还有很多页面手测的数据包不一一发了因为没意义。

可能是时间延迟注入,扔到sqlmap:

mssql数据库,不是dba权限,不是sa。直接扔掉因为不能getshell。脱库我对这种没兴趣没有脱库什么的因为没意义。

继续测试

越权漏洞。修改id可任意查看玩家信息。

接着测

游戏里有一个用金币买东西的活动,可以赢的时候多赢。经测试错在逻辑漏洞可以一直放包一直买不过没多大用。因为就算你买了也不行要充值够多少才可以使用。去你码的吧。

然后我账号就被封了。

至此

一共发现sql注入+越权+逻辑。

app逆向和渗透关系不大相当于pc逆向,顶多破解APP客户端。达不到渗透的作用。

参考链接

文章来源:90sec

原文链接:https://forum.90sec.com/t/topic/1555


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会

星球的最近主题和星球内部工具一些展示

推荐阅读

干货 | 渗透知识库

工具 | sqlmap图形化工具

审计 | SeaCms代码审计getshell

鹏组安全 | 2022年精华文章汇总

实战 | 记一次授权的渗透测试

应急 | linux实战清理挖矿病毒

好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5NDU3NDA3OQ==&mid=2247488906&idx=1&sn=5c443cc5a5c14fbd29c017138b942361&chksm=c01cd91af76b500cca3ec4eb81cd17f33b5fd65a7a1e0ab7b95c537c4c8e9f1d3eeaa55aded5#rd
如有侵权请联系:admin#unsafe.sh