業務權限漏洞挖掘入門姿勢實戰

前言

現在很多網站都是通過賣VIP會員盈利的，為了讓用戶更有購買欲望，有的時候會把內容展示一小部分，然后隱藏絕大多部分，讓你看完一點還想看就忍不住付錢了：），產品經理的愿景是很美好的，但是開發人員的水平是參差不齊的，最終實現的效果可能就會有各種各樣的問題，甚至留下安全隱患。

以某考公教育網站為例，在做題的時候對于一些名師點評之類的是收費內容，不開會員的話看不到完整內容，下圖是Chrome打開web端的答題頁面定位到完整的vip內容的過程：

將其復制到fehelper插件格式化觀察，通過Ctrl+F用關鍵字定位到那個字段，可以看到確實是拿到了完整的內容：

這家公司在它所屬的考公行業內應該能排到前三吧...所以除了web端還有Android端和iOS端，來看下其Android端，它的Android端有證書綁定，掛代理抓包就是這個樣子：

根本抓不到包的：

過證書綁定有很多種方式，這里采用肉師傅的r0capture，直接通殺證書綁定，在pixel2上啟動這個app，然后wifi adb連接查看其包名：

開始抓包：

python r0capture.py -U com.打碼.android.servant -v -p ./pkg/001-xxx/001.pcap

然后在app上去觸發查看vip內容的請求，用wireshark打開捕捉到的.pcap包，用wireshark篩選規則只查看響應包：

http.response

然后按照大小排序，前幾個比較大的選一個復制（因為有題目描述之類的，所以響應體會比較大，大概率是排在前面的）：

然后還是用fehelper解碼：

得到明文的響應體，然后還是使用fehelper將其格式化：

與Android頁面上對一下，由此石錘Android端也是存在此漏洞：

總結

Android端與web端并不是同一個接口，猜測接口應該只是個后端靠前的代理，調用的更后端的業務應該是調用的同一個方法...寫那個方法的人要被祭天了...

iOS也大概率是存在此漏洞的，不過鄙人對iOS的逆向熟悉程度屬實捉急，因此不在此處石錘了。