小程序Appid、AppSecret泄露漏洞总结 漏洞描述AppSecret是小程序的唯一凭证密钥，也是获取小程序全局唯一后台接口调用凭证的重要参数，需要开发者妥善保管至后台服务器中，并严格保密，不向任何第三方等透露。小程序若存在AppSecret密钥泄露漏洞的情况，会造成身份信息仿冒、敏感数据外泄等严重后果，开发者应及时发现该漏洞并快速修复相应问题。漏洞环境搭建如果没有可用的Appid、AppSecret来复现漏洞环境，可以自己注册一个公众号或微信小程序。我有公众号，那么接下来我会用公众号来演示操作。首先登录公众号，然后依次点击：设置与开发-基本配置-开启、重置（第一次显示的都是开启，我这个是已经开启后效果，如果忘记AppSecret可以重置）获取到Appid、AppSecret后还需要设置IP白名单。由于是通过开发者ID及密码调用获取access_token接口的，所以需要把访问来源IP添加到白名单，这样才可以正常使用功能（图片中的ip请替换成你的公网ip）。相关文档手册微信官方手册公众号https://developers.weixin.qq.com/doc/offiaccount/Getting_Started/Overview.html公共错误码https://developers.weixin.qq.com/doc/oplatform/Return_codes/Return_code_descriptions_new.html网页调试工具https://mp.weixin.qq.com/debug/cgi-bin/apiinfo?t=index&type=%E5%9F%BA%E7%A1%80%E6%94%AF%E6%8C%81&form=%E8%8E%B7%E5%8F%96access_token%E6%8E%A5%E5%8F%A3%20/token漏洞复现获取Access token手册说明https://developers.weixin.qq.com/doc/offiaccount/Basic_Information/Get_access_token.html获取方式https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET举例子，假如你的Appid是123，AppSecret是456那么获取Access token的链接就为：https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=123&secret=456调用功能通过查看微信官方手册公众号就可以知道可以通过接口使用哪些功能我们用获取用户列表接口举列子可以直接使用手册中的地址补充获取到的Access token请求即可，我这里使用网页调试工具来测试由于我的公众号没有认证所以没有获得相关的权限无法通过接口调用功能。从网上找了成功的案例图片获取小程序用户评论获取小程序用户访问数据冒用小程序身份给用户发送消息

从未授权访问到随意进出后台 1. 常规测试站点首页爆破目录先让他在后面跑着登录框尝试SQL注入、在找前端的接口，最后结果然并卵。2. 杀进后台这时候目录也跑完了看看结果，还真爆装备了。访问目标地址，该页面列举了站内所有的用户。界面上的所有按钮都按了一遍，全都能用。直接新增用户，并设置为管理员组。登陆到后台

我与爬虫的对抗 1. 丸辣1.1 完犊子了快到月底了，是时候查看一下各项服务，看看有没有什么需要续费啥的。查看到我的存储桶时候，兴奋了。这个月产生的流量是上个月的三倍，这说明使用网站的人变多了，能不高兴吗。但是查看完日志后我就没心情了。查看存储桶这一个月的总流量为：1G，约上月流量的3倍。1.2 查日志翻看日志，分别在8月的6、13、14、16日，流量全都异常。在这几天公众号没有发文，发文的资源都可以在后台获取到，平台在这几天陡然产生大流量肯定不正常。继续看日志，在8月6日当天产生了1千多次get的请求，这种流量应该是在爬站。还有PUT的请求方式。这一看就是冲着攻击来的，目的是想上传文件。在8月的2、24号请求最多。8月一共产生PUT请求方式370次。流量主要流向江西省为了后续减少损失抓紧做对应防御吧。2. 加固2.1 存储桶首先在创建存储桶时设置的权限就是只允许公共读，不能写。所以那些PUT请求没能成功把文件上传到存储桶中。2.2 爬站流量变大还存在另一种情况。有的在爬站时不但直接爬取内容，而且为了减少运营成本还会直接使用原作者提供的资源地址。文库中的图片我全都放在存储桶中，对方为了减少运营成本直接复制图片链接粘贴到他的项目中同样可以达到展示的效果。就这样别人吃着火锅还唱着歌，躺着就赢了。我这边赔了夫人又折兵。不但被抄家，而且双方在使用资源时存储桶产生的流量费用还要我一个人掏钱。应对这样的情况存储桶可以开启防盗链功能，只允许我自己的域名才能使用资源。2.3 高防另外还可以开通OSS高防服务，不过费用非常高，我承受不起。3. 上科技3.1 雷池爬站过程中肯定会产生较多的流量和访问速度，这时候就可以在服务器上安装一个waf来检测和限制访问。不但能防护恶意攻击，还能减少资源的浪费，美哉。做安全的长亭无人不知，他的雷池在业界有着很高的地位。不太了解的请自行百度。所以我选择雷池帮我守护。3.2 准备我使用了两台服务器分别运行waf和业务，如果把waf和业务都放在同一台服务器上运行那么服务器的负载会很大。下面是waf的工作原理图3.3 部署雷池是采用容器化部署、运行的，如果服务器没有安装docker也没事，官方提供的一键部署命令可以自动安装docker。这是没有安装docker运行一键部署的效果，按照指引就可以安装所需环境。这是已经安装docker运行一键部署的效果，自定义安装目录即可安装。安装完成后会给出管理地址和管理员的账号密码。3.4 配置通过ip:9443即可访问到服务，输入刚刚的账号和密码即可登录首先建议把域名的解析地址解析到cdn或者waf的ip，这样的好处就是有效的避免业务服务器的ip泄露先看一下业务服务器上的配置，开了81、82、83、84端口分别对应不同的业务。建议同时开启限制访问业务的ip，下图中我设置允许访问业务的ip是waf服务器的ip，也就是说只有经过waf的ip才可以访问和使用业务。假如攻击者知道了业务服务器的真实ip，直接跳过waf通过业务服务器ip来访问业务，他照样无法访问服务，因为我限制了使用服务的ip地址。3.5 配置防御在防护站点-站点管理功能中，填写需要防护的业务域名、waf的监听端口和业务服务器地址即可完成。防护按需配置最后就可以开心的玩耍啦。

对目标企业一个全面的渗透过程 1. 摸索1.1 常规测试站点首页企业官网，没啥可打的。Ping域名得到ip，扫描端口只开了80和443。那就打子域名吧。2. 存储桶2.1 目录遍历通过信息收集，找到了两个存储桶，都可以目录遍历，其中crms泄露了39份文件，huyonguangfu泄露了44万份。2.2 文件上传通过尝试名为crms的存储桶可以上传文件。3. Nacos3.1 弱口令在无意之间遇到3个站，首页是这样。原本想试着放bp里爆破账号密码的，出于习惯顺手查看一下插件有没有出货啥的。这一看果然还真爆装备了。看到nacos的密码就知道是默认的，直接反手登录到nacos翻了一下还存在其他账户，不过已经有一个账户了其他的都无所谓了。3.2 多个漏洞通过检测还存在其他类型漏洞3.3 存储桶接管查看了一下dassolarprod继续爆装备，配置中写了百度的ak、sk。我直接接管好吧。查看了一下内容，接管到就是文章一开始提到的存储桶。4. jboss4.1 多个漏洞这个站，存在jboss的反序列化、代码执行、未授权访问漏洞5.收尾5.1 弱口令最后还有一个弱口令

对方拒绝我的登录请求并把管理员密码甩到我脸上的奇葩案例 1. 端倪1.1 开场站点首页用户名输入1尝试登录，会返回当前用户未注册的提示输入已有的账户名，则会返回用户密码错误的提示。返回bp刚想把数据包拿去爆破，好玩的就来了。2. 信息泄露2.1 开眼这是输入不存在的用户名返回包这是输入存在的用户名返回包，对方拒绝我的登录请求并把管理员密码甩到我脸上。好好好，我拿着md5直接解密我拿着密码直接登录后台平台中还存在其他账户，都存在这样的问题。奇葩，太奇葩了。