對棋牌app漏洞挖掘以及一些工具(附送0DAY)

大家好，很久沒更新有沒有想我呢。

（大家想要的東西附在文章末尾，回復關鍵字下載獲取下載地址）

沒錯，就是那個越權幫別人支付訂單，xss打自己cookie的男人，他回來了。

前段時間寫的幫粉絲滲透棋牌app，被很多朋友私信問我到底怎麼搞下來的，他們也想來這麼一套一頓操作猛如虎的連環打法。

               

但是我怎麼可能告訴你們我是admin/123456進去的？那不是有損我在你們面前樹立起的高手形象？

不行，我得編個故事，告訴你們我不是用的0DAY，只要不是admin/123456，那我的形象還能基本維持住。

好了，閒話不多講，咱們進入今天的主題活動。

那麼，我們到底應該怎麼去測試app？

總結一下很多人遇到這種棋牌app測試項目的幾種問題。

只給你一個下載app的地址。

就會抓個數據包。

一頓操作猛如虎，沒事折騰一下午。

在實際情況中，很多小型的非法的棋牌app都以經很少自己建立一個官網了，而是轉為將app放在第三方下載站點，比如這個。

也就是說，在從網站獲取信息之類的情況基本沒有了，那麼我們能收集信息的也就是app裡面去入手了。

打開app以後他是這樣的。

如果現在你們能回答問題的話，那我覺得，你們肯定會告訴我，當然是客服留言處xss來一發啦！

說實話，在對棋牌app測試中，xss盲打成功的結果基本為負數，當然，也並不是說xss就沒用了，但是畢竟這個東西還是要看場景的。

                                

關於還有人會說的注入，近段時間，我遇到的app測試，就一個，還是兩個月前的事情了，當然，也可能是我太菜了，沒注意到。

                  

那麼剩下的關鍵就是抓包了，除了上面我們說的注入，利用burpsuite相結合，來對連結進行測試之外，其實更多的，是獲取到有用的信息，比如網站的ip地址，或者一些域名信息，雖然前面說了，很少有做官網的棋牌了，但那些都是一些小站，有野心和投入的還是會搭建官網，可以把PC端和手機端同步做起來的。

那麼棋牌站點官網會不會存在注入等等這些漏洞呢？答案是可能會存在，比如下面這個案例。

我們一再強調，注入產生在數據交互的地方，上面有什麼地方是能夠產生數據交互的呢？眼睛不瞎手沒斷的朋友，看一眼，動下手就知道了。

我們在這個地方抓包，以下是數據包。

POST /index/api/user_records.html HTTP/1.1Host: 5232yh.comProxy-Connection: keep-aliveContent-Length: 30Accept: application/json, text/javascript, */*; q=0.01Origin: http://5232yh.comX-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36Content-Type: application/x-www-form-urlencoded; charset=UTF-8Referer: http://5232yh.com/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=vtejfajscs9ig29ckdm6nm3dc0
page=1&act_id=71&actuser=qq000
最終結果是act_id存在注入。
所以我們才講，測試範圍和方向大一點，能挖掘漏洞和利用漏洞的地方才會多，局限性太大，不管什麼測試，都很難辦。
在這裡還得給大家講的是關於網上一些文章說的把app放到類似於360顯微鏡，騰訊金剛的app漏洞測試平臺去測試，希望大家還是冷靜點，首先看看自己會不會逆向，看不看得懂安卓代碼。
對我來說，不管你上面顯示掃描出多少個漏洞，只要我夠廢物，漏洞永遠找不到我。
另外，360顯危鏡最讓人無語的一點，就是沒有搜索app的功能，每次上次都只是給你一個連結，讓你去看，我懷疑這個玩意兒就是他們收集信息的一個來源，簡直坑人，至於漏洞掃描，大家可以看看掃描結果，如圖。
如果按使用後感覺來說，我感覺根本對我沒有什麼屁用，起碼對我想拿權限這個前提來說真的沒什麼屁用，何況這些掃描結果，是真的雞肋。
                             
還是自己抓包把，抓包是最實在的，很多人給我反饋過說抓不到有用的包，就我自己的經驗來看，對棋牌app測試，抓哪裡的包最容易抓到有用的？
                                      
那麼我的答案就是，抓充值接口的包，為什麼要抓充值接口？
                                    
首先，棋牌站點可以在後臺設置充值接口，支付寶，微信等等二維碼，如果設置在後臺完成，並沒有利用到第四方支付，那麼就很有可能暴露後臺地址連結，ip等等，比如上面我們說的至尊棋牌。
在這裡，我沒有抓包，只是點擊，發現跳轉到瀏覽器的一瞬間，跳轉地址是一個180開頭的ip地址，但是緊接著，又變成了一個第四方支付。
那麼我們就直接抓包唄。
最後抓到連結為
不要說我不給你們實踐的機會，下面是app下載地址。
想裝逼，就自己動手去搞。
得到ip後，訪問是跳轉到app下載地址的，所以，web服務肯定是在埠後面的，果然隨後用nmap掃描到8081這個埠，訪問，是後臺。
肯定有人問我，那我怎麼搞到後臺系統裡面去啊？
別問，問就是admin/123456


那麼，在這裡，我就得給大家推薦一款好用的工具了，一位表哥寫的apk敏感數據提取工具。apkAnalyser （文章末尾有下載地址）
把要提取的apk文件放到apps裡面，然後點擊apkAnalyser.exe就行了，接著就可以在result目錄下看到提取的數據了，
包括哈希，ip，路徑等等。
當然，還要給大家提供一個appscan平臺，地址為：
郵箱註冊一個帳號，上傳app就可以進行掃描提取數據信息。
反正是比那些什麼玩意兒好用多了，一天到晚搞那麼多花裡胡哨的。
                                  
你問我既然有這個平臺，為啥還要給個工具出來？還不是想讓你們多個選擇，憋說話，我愛你們就完事了。
                               
看到這裡，你們小小的腦袋裡肯定很疑惑，我看了半天都不知道到底測試了啥，其實我也不知道測試了啥，反正就是湊字數。
測試個錘子，搞棋牌肯定要靠0DAY啊，測試測試，測個錘子試。
另外就是之前的那個可以改開獎號碼彩票站點了。
首先，那個網站程序叫天恆，前臺存在xss，在訂單用戶名處，可以盲打。
因為網站版本不同，有一部分用此程序的站點，可以後臺getshell。
lib/classes/googleChart/markers/GoogleChartMapMarker.php
這個漏洞後續還是撿垃圾大隊的P7給我的，得給他加個雞腿。
               
另外，我已經在web指紋識別平臺雲悉提交了天恆的web指紋，以後大家就可以識別了。
承諾為大家準備的東西，已經準備好了。
兩個admin/123456已經發貨了。
這次，大家就別罵我了，有的0DAY是真的不能發出來，發兩個這種沒啥含量的，沒玩過的朋友玩玩就行了。



公眾號內回復：漏了個大洞  ----領取您所需要的物資空投地址
掃一掃關注我獲取更多精彩！

掃碼加活動群秘書，回復「安全」進入活動群，參與抽獎活動，贏取大獎
理論和實踐完美結合的滲透實戰案例
實戰滲透某大型傳銷組織 - 有思路有乾貨
一次對娛樂圈黑客論壇實戰
【實戰】提權某找小姐網站伺服器