MENU

突破微信浏览器限制注入

August 13, 2016 • Security

1_meitu_1.jpg

解决:

1.模拟微信浏览器的:User-Agent \经过抓包对比MicroMessenger 是微信浏览器特定的标识,抓到这个才算成功。
2.设置cookie \微信会用OAUTH来取openid值做验证,好在这个会存在cookie里面,所以改包cookie就能绕过。

工具:

BurP
火狐浏览器

流程:

先用burp抓包手机微信访问网站的包,获得User-Agent和cookie;然后再用bur抓包电脑上访问网址的包,修改后放出去,成功获得第一个可以打开的页面;最后火狐控制台利用js直接设置cookie获得持久访问。

实际操作

1,确保手机和pc在同一网段下,然后让bur监听(注意有防火墙的先关闭,省的抓不到包)

2_meitu_2.jpg

Cookie: PHPSESSID=0m207akbe95ndijte6p2e710m1; a[194]=194; a[88]=88; sessionid=or6DywBJP-I2D1XZjw5lFcDT1ovQ
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_4 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13G35 MicroMessenger/6.3.23 NetType/WIFI Language/zh_CN

得到我们想要的两条信息。

2,下面我们逐一测试突破。我在火狐上装了一个扩展User Agent Switcher,它可以用来模拟User-Agent来达到欺骗浏览器是移动端发起的访问。我们先来模拟下看看是否能达到突破限制正常访问。

4.jpg

5.png

6.png

设置完毕后我们访问发现百度确实可以访问到移动版了,但是我们的目标网站虽然不像先前那样提示微信浏览了,但返回了一个空白页面。证明我们单纯修改User-Agent是无法达到突破访问的。

7.jpg

8.png

这样说来,单纯模拟User-Agent还是无法完全的突破限制。好,那我们继续用bur抓包,我们设置监听火狐浏览器。然后访问这个地址。得到如下包:

9.png

通过对比我们发现cookie,和User-Agent都和我们上面手机里抓到的包值不一样,那么是不是修改这个包的这两项和手机一样了,就能突破呢访问呢?我们实际操作一下。

10.png

11.png

到这里我们终于在pc的浏览器上看到了在微信里看到的界面是不是很开心,毕竟pc上输入select union方便的多,哈哈。
但是要提醒大家,到了这一步还不能算结束,因为如果我们现在随便点一下里面的界面,然后就会发现想再访问其他页面就不行了,难道只能对当前页面进行?那不是我想要的,那样多死吧啊。所以我们就还需要获得一个持久的cookie,好跟我进入第三步。

3,利用js设置cookie获得持久的访问。这个步骤相对简单。f12打开控制台,输入指令设置即可。语法如下:document.cookie="value"; 这里的value就是我们从手机抓包下来的cookie值。
当前案例的话组合后语句就是:

document.cookie="name=PHPSESSID=0m207akbe95ndijte6p2e710m1; a[194]=194; a[88]=88; sessionid=or6DywBJP-I2D1XZjw5lFcDT1ovQ";

12.png

好了,到此你可以任意在pc上浏览这个网站了,想怎么测试就怎么测试。这个过程不要关闭bur,一旦关闭就要重来了。根据我自己的经验现在大部分的微信二次开发都有sql注入尤其小公司给人弄的东西,简直就是用恶心都不为过,好多都是买个vps环境集成一下,程序数据库直接给root,后果可想而知,我拿了几个服务器都是因为这一个原因,这也算是一个引子吧,这块的漏洞都不是什么高深的技术,但是危害确实挺大。

from:http://forum.90sec.org/forum.php?mod=viewthread&tid=9781

Archives QR Code
QR Code for this page
Tipping QR Code