声明

本文仅供学习和研究网络安全技术。反对一切危害网络安全的行为。造成法律后果自行负责

注：本文漏洞均在取得授权情况下进行渗透测试后得到，且截止文章发布本文文章所有漏洞均已修复

前言

前段时间，刚好大三的学长学姐开始渗透校园网，那作为遵纪守法的好学生怎么能够放过这种有授权的好机会，于是也麻溜和老师报备后来到了机房，经过了漫长的信息收集后，也是想起来了前端时间让我们下载的 APP ，那 APP 既然是学校自己开放的，那就懂得都懂。

至于 APP 抓包的相关文章，各个平台也都有，这里就不再过多赘述了，主要还是和各位师傅分享下挖洞的经历

1 敏感信息泄露

在首页刷新后拦截数据包

可以遍历此userId

便可获取其他同学、老师信息

泄露学号、专业、宿舍、人脸信息共计可达 19000 条左右

然后我们就可以利用这些信息，进行进一步攻击

2 水平越权

越权查看他人账号相关信息（平行越权）

经过测试1-14590 为学生 14590-15000左右为老师

在首页刷新后查看到userid

此时可以修改userid

后面关闭拦截放包即可

然后在手机界面进入

此时点击三个功能点可进入其他用户的界面

可以查看到其他人的所有信息，无论是通行记录，人脸信息，宿舍号、班级、姓名等信息都可查看

3 垂直越权

还是在主页刷新，然后先放过前几个数据包

然后再通过前面越权得到的管理员权限信息进行修改

可以发现首页界面出现了新的功能点-考勤改签接口

在进接口前需要修改 persontype

一样能够进入其他系统

4 越权修改他人人脸照片

（ps：这里的数据包是我刚下下来 app 的时候抓的，只是没想到后面给这个功能点下下来了，然后联想到前面也没有鉴权，那修改人脸肯定不用说了）

大致的步骤是：登录账号A后，替换数据包的 Authorization ，确保经过 Authorization 的合法性校验，后更改数据包中的 base64 编码，通过本文第一个越权查看数据的数据包遍历id找到账号B的 userID ，然后将数据包的 userid 改为账号 B 的 id 即可替换

具体复现步骤：

抓包，找到关键数据包，修改userid查看数据

通过爆破 userId 可发现账号 B 的 userId=6299，personId=6297

登录账号B可发现照片为这个样子

在任意数据包中发现Authorization参数，并放入数据包进行替换

发包，然后发现已经修改成功了

登录账号 A 进行检验（各位师傅可以注意下照片的背景），发现已经成功修改

5 存储型xss

首页—>宿舍考勤记录—>找到申请改签

按照如下顺序找到功能点

发现有文件上传点

选择图片

（这里不需要点击提交，选择好图片就自动上传了）

修改图片、将filename改为svg结尾的图片，然后把文件内容进行替换

提交之后可以看到如下路径

出现后半段路径

e3631982-e9fe-11ef-9f5e-e8611a36bf65/xxxxx/2/xxxxxx.svg

到这里原本就已经卡着了，因为在 APP 端是没办法触发这个 XSS 的，但是突然看到了数据包 Host：参数，然后尝试访问了下，发现竟然访问上了，而且还和 APP 端用的账号密码是相同的，Web站点的图片保存完整url路径的概率就非常大了

登录该平台的web站点

打开F12

放到这个右上角图像位置

这里打了码可能看的不太清

https://。。。。。/evo-apigw/evo-oss/【路径】?token=【TOKEN】

到这里相信师傅们也会了，只要替换中间的路径，就能访问之前上传的文件，触发这个 XSS 了

证明存在存储型xss

文章来源：亿人安全