2020.9.19凌晨3點(diǎn)23
深夜難眠，回想起今天waf上一大堆誤報(bào)和寥寥無幾的告警，甲方爸爸提供的兩葷一素已經(jīng)換成了白粥榨菜，農(nóng)夫已經(jīng)換成了怡寶，豬肉換成了榨菜，或許我們是時(shí)長一個(gè)月實(shí)習(xí)生的身份，已經(jīng)徹底暴露了，明天不知道是不是只能吃開水泡面了。唉，明天又要穿上白襯衫，繼續(xù)假裝自己是5年工作經(jīng)驗(yàn)的安全專家，今晚終于認(rèn)清現(xiàn)實(shí),活捉紅隊(duì)0day依然是我們遙不可及的夢。
生而為人，我很抱歉。


材料準(zhǔn)備：
burp suite、模擬器(把微信裝好)、node.js、wxappUnpacker、root explorer

操作流程：
步驟1: 配置Burp和模擬器（模擬器需導(dǎo)入ca證書），打開模擬器的WLAN-->高級(jí)設(shè)置-->輸入物理機(jī)的ip以及一個(gè)沒被占用的端口，Burp用于代理該端口




步驟2：打開微信-->隨便點(diǎn)擊一個(gè)小程序進(jìn)入小程序主界面，然后打開文件管理器



在/data/data/com.tencent.mm/MicroMsg/xxxxxxx(不同微信文件夾也不同)/appbrand/pkg/目錄下存放著剛才訪問這個(gè)小程序的兩個(gè)數(shù)據(jù)包，


兩個(gè)包分為子包和主包
壓縮后通過模擬器的微信發(fā)送到物理機(jī)進(jìn)行反編譯


可以直接用notepad++ 但是會(huì)有亂碼，這里使用git下載的wxappUnpacker進(jìn)行反編譯
CMD進(jìn)入wxappUnpacker的下載目錄，安裝依賴包

Shell

1. npm install esprima

2. npm install css-tree

3. npm install cssbeautify

4. npm install vm2

5. npm install uglify-es

6. npm install js-beautify

復(fù)制 文本

依賴包安裝好后 使用命令node wuWxapkg.js C:\xxxxxx\xxxxxx\_-1971317095_1.wxapkg
進(jìn)行反編譯(如果是子包的話需要加-s參數(shù))


反編譯完成
接下來就是針對(duì)所有js、html進(jìn)行漏洞分析，尋找突破口


通過簡單的信息收集得知該小程序是windows+iis7.5+.net+mssql
80、443、3389端口開啟
且程序采用了svc接口

從js中得到一個(gè)接口用于判斷手機(jī)號(hào)是否注冊


通過單引號(hào) 和 '--（單引號(hào)+mssql閉合） 發(fā)現(xiàn)返回包不同

使用單個(gè)單引號(hào) 報(bào)錯(cuò):系統(tǒng)故障



使用 單引號(hào)跟閉合 返回正確數(shù)據(jù)包 因此判斷該處通過單引號(hào)閉合



最后驗(yàn)證存在SQL注入



注入點(diǎn)權(quán)限很小 --os-shell權(quán)限為iis
且注入點(diǎn)只能布爾和延遲，列目錄寫shell屬實(shí)浪費(fèi)時(shí)間
通過子域名掃描得到后臺(tái)一枚，且發(fā)現(xiàn)該程序居然還是一個(gè)通用系統(tǒng)。。


通過注入點(diǎn)拿到后臺(tái)賬號(hào)密碼后 就是常規(guī)的滲透思路了，本文著重于微信公眾號(hào)的反編譯(最后好像有點(diǎn)跑題)，有不足之處希望評(píng)論區(qū)留言指正，反正我也不會(huì)改的