一、小程序抓包
在家呆了两个月,很久没有去实战了,为了保证自己不会变废,最近复习了以前自己的实战和朋友给的案例,顺便给大家分享分享。
打开某小程序,微信授权登陆,全程开启BP代理(不拦截),登陆之后暂时不身份认证。
二、替换BP历史流量请求URL重放
在BP的HTTP历史流量里随便找一个包Ctrl+R放入重放器中,已知之前在某小程序上发现某接口泄漏用户身份信息,将下方请求URL替换掉第三步随意抓取的请求URL
`/association-api/api/common/associator/getUserInfoAndMemberInfo?userId=342002F919874EFF9B731DF7C6C6BA93`
三、替换userid
将获取到的userid替换到刚刚发现的能够获取用户信息的请求中,可以发现该处返回了用户的敏感信息:姓名、手机号、身份证号、认证方式教职工等。
四、举一反三扩大危害
点击小程序的其他功能进行互动
点击进入后,分析BP历史流量,可以发现在图中的请求接口中,有返回用户的userId信息,将userId填入到泄漏敏感信息的接口,可以看到能够查询到大量的用户敏感信息:姓名、手机号、家庭地址、身份证等。
回到这个泄漏userid的接口,将该请求Ctrl+R放置重载器中,通过调节limit字段为100,可以查看响应包,能够返回100份数据,可想而知如果将其改为20000,那么至少可以将所有的的敏感信息都能获取。
总结
很多小伙伴会经常忽略Burpsuit的历史流量,其实里面会有很多惊喜,有些网站会跳转,查看Burpsuit历史流量会发现跳转的网站地址和流量包,总之今后记得关注BP的HTTP流量,会有很多意想不到的惊喜。
本文标题:SRC经验分享-BP历史流量找到的信息泄露
本文链接:https://blog.langsasec.cn/index.php/2022/12/07/srcbplsll/
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
本文链接:https://blog.langsasec.cn/index.php/2022/12/07/srcbplsll/
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
