qq微信密码私钥泄露的危险

qq微信密码私钥泄露的危险

qq黑客hacker2019-07-09 13:49:5615815A+A-

1个不经意的机遇获得了微信公众号插口的管理权限,手机QQ密码破解器发觉许多「有趣的事」,听说可以灰产。现阶段该系统漏洞早已递交给微信号码开发方进行修补,这篇关键劝诫诸位微信公众平台开发者有关WECHAT_APPID和WECHAT_APPSECRET的必要性。

 

信息内容搜集

 

数据文件断开

 

最先应用抓包软件,例如BrupSuite对微信公众平台的数据文件开展提取,手机QQ密码找回数据文件的网页地址详细地址大约给出:

 

WWW.xxxx.Com/tools/query

黑客入门初学者训练营除掉主要参数和相对路径立即用一级域名浏览

 

WWW.xxxx.Com

浏览网站域名

这一那时候自动跳转到1个搏客,以便不泄漏隐私保护也不截屏了。应当是开发者的个人网站,翻了一下下没啥可用的信息内容。用nslookup查IP地址发觉请求超时看,ping一下下得到了IP地址详细地址,是阿里服务器的服务器。nmap扫了整圈,发觉开过mysql和phpmyadmin(在端口号8181上)。

 

浏览iP出错

 

可是沒有寻找好的运用姿态,因此立即用IP地址浏览了一下下,曝出很多错误信息!应当是应用了laravel的debug软件,可是沒有立即关掉所造成的。

 

右下方拉下去,可以看包含全部laravel的环境变量都显示信息了出去,包含数据库查询信息内容。

 

可是IP地址以外网,并且也不可以用于登陆mysql和myadmin。

 

特别注意到最终的好多个自变量WECHAT_APPID和WECHAT_APPSECRET

 

 

刚开始不了解,可是看到secret关键词,应当是不可以随便泄漏的,如何使用呢?让微信官网教人们吧

 

这儿是天时地利得到的WECHAT_APPID和WECHAT_APPSECRET,要是根据其他web系统漏洞进到了网络服务器,一样能够根据找配置文件获得这种值,因此说如今必须留心的不但是数据库连接信息内容了。

 

漏洞利用

 

微信公众号开发人员文本文档

 

官方网说,access_token是微信公众号的全局变量惟一单据,微信公众号启用各插口时都需应用access_token。

微信公众号能够应用AppID和AppSecret启用插口来获得access_token,因此人们得到的统计数据派干了用途。

插口启用post请求表明

 

.compost请求方法: set

 

htpp://api.weixin.手机QQ.Com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET

 

获得token.jpg

 

回到了一长串很长的token,之后启用插口都随身携带这一access_token主要参数只能,官方网说有效期限现阶段为2个钟头,需定时执行更新,反复获得将造成之前获得的access_token无效。

 

参考官方网文本文档,应当有许多运用姿态,终究能群发消息,能获得到客户详细地址这类的隐私保护统计数据,可是也是一部分作用必须后台管理填写信息网页地址详细地址才行,主要的大家能够科学研究下上边的文本文档,发掘大量姿态,下边我也演试下危害较为大的群发消息。

群发消息演试

 

再度参考官方网文本文档

 

想群发消息任何人,必须应用Is_To_all主要参数,可是有频次限定,因此应查排序,应用排序上传。

 

查寻全部排序

 

插口启用post请求表明

 

.compost请求方法: set(请应用htpp协议书)

 

htpp://api.weixin.手机QQ.Com/cgi-bin/groups/set?access_token=ACCESS_TOKEN

 

回到表明一切正常时的回到JSON数据文件实例:

 

{

    "groups": [

        {

            "Id": 0, 

            "name": "未排序", 

            "count": 72596

        }, 

        {

            "Id": 1, 

            "name": "信用黑名单", 

            "count": 41

        }, 

        {

            "Id": 2, 

            "name": "星标组", 

            "count": 8

        }, 

        {

            "Id": 104, 

            "name": "华北媒", 

            "count": 4

        }, 

        {

            "Id": 103, 

            "name": "★不检测组★", 

            "count": 1

        }

    ]

}

我应用文本文档里的插口调节专用工具演试此次的案例

 

排序.jpg

 

选至少人最多的两列,Id为0和104

 

依据排序开展群发消息【微信订阅号与微信服务号验证后均能用】

 

插口启用post请求表明

 

.compost请求方法: POST

 

htpp://api.weixin.手机QQ.Com/cgi-bin/message/mass/sendall?access_token=ACCESS_TOKEN

 

POST统计数据表明

 

POST统计数据实例给出:

 

文字:

{

   "filter":{

      "Is_To_all":false,   

      "group_Id":"2"

   },

   "text":{

      "content":"CONTENT"

   },

    "msgtype":"text"

}

 

官方网文本文档这儿的false后边少了个逗号是最骚的,我给大家再加。上传的信息内容是宣传策划大学的安全性手机QQ群

 

那样上传post请求(图中也少了1个逗号)是不好的,由于发了没编号的汉语。回到的错误代码是信息种类不正确,最终改为\u的unicode编号,回应的错误代码为0就是说取得成功,結果传出去变为了那样(群发消息有延迟时间,需细心等候)

 

可是由于粉絲较为多,沒有深化检测如何恰当发汉语,可是一瞬间有8本人加了我的群,原先是微信一键汉语翻译能编解码,神人真多。。

 

后记

 

尽管此次沒有操纵服务器,可是有着很多粉絲的微信公众号的公信度,絕對会变成网络黑客的运用总体目标,要是群发消息的是垂钓连接和虚报的充值活动这类的连接,客户损害的是金钱,店家损害的是信誉度,得益的是灰产。之后微信公众号责任人寻找我,讨论了一下下应不应该那样做检测,最终算作庭外和解,不追责导致的粉絲损害,群发消息里宣传策划的群在微信公众号责任人的规定下也早已关掉了。

 

此次系统漏洞造成的关键缘故为下列二点:

 

1.Domain未打开cdn节点,造成网络服务器iP曝露。

 

2.程序猿始终打开debug方式,造成重要信息内容被泄漏。

 

安全性路漫漫,期待大家汲取个经验教训。


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 嘻友喵叽2022-05-28 03:55:13
  • bsp;那样上传post请求(图中也少了1个逗号)是不好的,由于发了没编号的汉语。回到的错误代码是信息种类不正确,最终改为\u的unicode编号,回应的错误代
  • 性许酒废2022-05-28 01:44:45
  • _APPID和WECHAT_APPSECRET  刚开始不了解,可是看到secret关键词,应当是不可以随便泄漏的,如何使用呢?让微信官网教人们吧 这儿是天时地利得到的WECHAT_APPID
  • 極樂鬼12022-05-27 23:06:59
  • 管此次沒有操纵服务器,可是有着很多粉絲的微信公众号的公信度,絕對会变成网络黑客的运用总体目标,要是群发消息的是垂钓连接和虚报的充值活动这类的连接,客户损害的是金钱,店家损害的是信誉
  • 假欢路岷2022-05-28 05:08:30
  • p;依据排序开展群发消息【微信订阅号与微信服务号验证后均能用】 插口启用post请求表明 .compost请求方法: POST htpp://api.weixin.手机QQ.Com/cgi-bin/message/mass/sendall?access_to
  • 柔侣风渺2022-05-27 23:31:51
  • bsp;插口启用post请求表明 .compost请求方法: set(请应用htpp协议书) htpp://api.weixin.手机QQ.Com/cgi-bin/groups/set?access_token=ACCESS_TOKEN 回到表

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理