某司微信直饮水充值管理平台测试笔记
字数 1048 2025-08-26 22:11:22

微信直饮水充值管理平台渗透测试教学文档

0x01 测试环境准备

1.1 微信公众号抓包工具配置

推荐工具组合

  • Surge for Mac
  • Surge for iOS

配置步骤

  1. Mac端配置

    • 运行Surge Mac版
    • 点击"控制台" => "文件" => "连接到其他设备"
    • 选择"使用USB线缆连接到Surge iOS"
    • 填写iOS端设置的端口和连接密码

  2. iOS端配置

    • 确保与Mac通过USB连接
    • 在Surge iOS中设置好代理端口和密码

效果:此配置可有效抓取微信公众号的流量,解决常规代理无法抓包的问题。

0x02 漏洞发现与利用

2.1 ThinkPHP RCE漏洞检测

识别特征

  • 报错页面显示"ThinkPHP 5.0.14"
  • 典型的ThinkPHP框架错误页面

测试步骤

  1. 初始尝试

    http://127.0.0.1/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
    • 返回404,说明public目录可能被修改

  2. 目录结构分析

    • 检查.htaccess文件确认根目录指向
    • ThinkPHP 5.X默认入口文件为/public/index.php

  3. 调整攻击路径

    • 根据实际目录结构调整URL路径
    • 尝试不同控制器路径

2.2 越权漏洞分析

关键参数

  • deviceid:饮水机编号
  • deviceno:绑定者的编号
  • oaoriginalid:公众号ID

漏洞利用方式

  1. 设备越权添加

    • 将自己寝室的饮水机添加到他人账号
    • 将他人ID添加到自己的账号

  2. 支付订单越权

    • 越权为他人支付订单
    • 潜在危害:将所有设备添加到自己账号,导致他人无法充值

2.3 XSS漏洞

发现方式

  • 常规XSS测试(未详细描述具体测试方法)
  • 建议补充:参数fuzz测试、输入输出点检测

0x03 漏洞修复建议

  1. ThinkPHP框架

    • 升级到最新安全版本
    • 禁用危险函数和路由

  2. 权限控制

    • 加强设备绑定逻辑验证
    • 实现严格的用户-设备关联检查

  3. 输入验证

    • 对所有用户输入进行严格过滤
    • 实现CSRF防护机制

0x04 测试总结

  1. 测试流程

    • 抓包分析 → 框架识别 → 漏洞利用 → 权限验证

  2. 风险等级

    • ThinkPHP RCE:高危
    • 越权操作:中高危
    • XSS:中危

  3. 影响范围

    • 使用该直饮水系统的所有高校
    • 可能影响大量用户的正常用水

附录:测试工具清单

  1. 抓包工具

    • Surge for Mac/iOS
    • Burp Suite

  2. 漏洞验证工具

    • 自定义请求脚本
    • ThinkPHP漏洞检测工具

  3. 辅助工具

    • 浏览器开发者工具
    • 文本编辑器(分析响应)
微信直饮水充值管理平台渗透测试教学文档 0x01 测试环境准备 1.1 微信公众号抓包工具配置 推荐工具组合 : Surge for Mac Surge for iOS 配置步骤 : Mac端配置 : 运行Surge Mac版 点击"控制台" => "文件" => "连接到其他设备" 选择"使用USB线缆连接到Surge iOS" 填写iOS端设置的端口和连接密码 iOS端配置 : 确保与Mac通过USB连接 在Surge iOS中设置好代理端口和密码 效果 :此配置可有效抓取微信公众号的流量,解决常规代理无法抓包的问题。 0x02 漏洞发现与利用 2.1 ThinkPHP RCE漏洞检测 识别特征 : 报错页面显示"ThinkPHP 5.0.14" 典型的ThinkPHP框架错误页面 测试步骤 : 初始尝试 : 返回404,说明public目录可能被修改 目录结构分析 : 检查 .htaccess 文件确认根目录指向 ThinkPHP 5.X默认入口文件为 /public/index.php 调整攻击路径 : 根据实际目录结构调整URL路径 尝试不同控制器路径 2.2 越权漏洞分析 关键参数 : deviceid :饮水机编号 deviceno :绑定者的编号 oaoriginalid :公众号ID 漏洞利用方式 : 设备越权添加 : 将自己寝室的饮水机添加到他人账号 将他人ID添加到自己的账号 支付订单越权 : 越权为他人支付订单 潜在危害:将所有设备添加到自己账号,导致他人无法充值 2.3 XSS漏洞 发现方式 : 常规XSS测试(未详细描述具体测试方法) 建议补充:参数fuzz测试、输入输出点检测 0x03 漏洞修复建议 ThinkPHP框架 : 升级到最新安全版本 禁用危险函数和路由 权限控制 : 加强设备绑定逻辑验证 实现严格的用户-设备关联检查 输入验证 : 对所有用户输入进行严格过滤 实现CSRF防护机制 0x04 测试总结 测试流程 : 抓包分析 → 框架识别 → 漏洞利用 → 权限验证 风险等级 : ThinkPHP RCE:高危 越权操作:中高危 XSS:中危 影响范围 : 使用该直饮水系统的所有高校 可能影响大量用户的正常用水 附录:测试工具清单 抓包工具 : Surge for Mac/iOS Burp Suite 漏洞验证工具 : 自定义请求脚本 ThinkPHP漏洞检测工具 辅助工具 : 浏览器开发者工具 文本编辑器(分析响应)