记录一次真实信息泄露

2025-03-20 17:15:33 32 fingershuaib 1894

获取prod-web-auth-api/gateway/commonPostLogin 接口

类似于获取信息的登录接口

遍历username字段，可以获取到对应身份证号的人姓名、手机号和小程序鉴权值

获取到小程序session，可以任意越权其他功能

用其他数据包证明session可利用

遍历username字段，根据id字段可以证明数据量200万+，可以获取上两百万+公民个人信息，并且所有使用Authorization字段鉴权的功能都可以越权增删改查信息。

该环境已修复仅供学习交流思路

类别渗透测试

关于作者

fingershuaib2篇文章20篇回复

fingershuaib

评论32次

要评论？请先登录或注册

32楼

0gRrn
7 天前 19:49

username是突破点，这漏洞有点简单

回复|@ta|踩(0)|顶(0)
31楼

fantasy70
2025-3-27 15:22

我感觉楼主不如弄个流程图说明下，你这样整几个图还打码看着挺费劲的，重要的是，哎，你说你脱了多少条数据来着😄

回复|@ta|踩(0)|顶(0)
30楼

Lem0nC
2025-3-27 14:30

这种username要么跑字典（zhangsan lisi），要么是根据xi统规律（归属地递增等），要么尝试置空或通配符（*）返回全部

回复|@ta|踩(0)|顶(0)
29楼

猩猩丶
2025-3-27 14:21

好久没遇到这种，小程序直接抓包吗

回复|@ta|踩(0)|顶(0)
28楼

xiaofan321
2025-3-27 12:36

所有人密码都是一样的吗

回复|@ta|踩(0)|顶(0)
27楼

wf98wf
2025-3-26 23:56

MH521：
username置空是不是可以返回全部用户信息
回复|@ta
1

hhh好想法，怕响应太大撑不住

回复|@ta|踩(0)|顶(0)
26楼

ByHuaiNian
2025-3-26 19:16

这是app还是微信小程序了

回复|@ta|踩(0)|顶(0)
25楼

2rpang
2025-3-26 16:46

这么大的量的信息泄露么，那这个小程序用户量挺大啊，还是后端连接着别的平台啊

回复|@ta|踩(0)|顶(0)
24楼

axin1st
2025-3-25 09:06

登录口信息查询的地方不做鉴权，也是够了，把开发拿出去鸡毙。

回复|@ta|踩(0)|顶(0)
23楼

小瑟斯
2025-3-24 16:08

我想问的是，像这种案例，平台能给多少

回复|@ta|踩(0)|顶(0)
22楼

Lufei101
2025-3-24 13:50

遇到过类似的，就是在登陆口会发一个查询用户存不存在的请求包，存在就返回所有数据，最离谱的是备注里写的还是密码

回复|@ta|踩(0)|顶(0)
21楼

hktools
2025-3-24 10:10

请问下像这种通过burp遍历的数据怎么批量导出来了

回复|@ta|踩(0)|顶(0)
20楼

lstib
2025-3-22 11:57

信息泄露无处不在，都是透明人儿😩😩

回复|@ta|踩(0)|顶(0)
19楼

NS_8899
2025-3-21 14:57

hilan1：
这种泄露多的很，尤其是医院
回复|@ta
1

拍脑袋临时弄的网格化的web或者小程序，未授权接口+居民信息（不止三要素，直接到门牌号）。后期也没人维护。

回复|@ta|踩(0)|顶(0)
18楼

IceCram
2025-3-21 11:37

从手法来看不是很难，但是这造成的后果太严重了

回复|@ta|踩(0)|顶(0)
17楼

MrE404bug
2025-3-21 11:05

6666,这是那个

回复|@ta|踩(0)|顶(0)
16楼

hilan1
2025-3-21 10:51

这种泄露多的很，尤其是医院

回复|@ta|踩(0)|顶(0)
15楼

六六
2025-3-21 10:49

看着像是哪个高校、、

回复|@ta|踩(0)|顶(0)
14楼

Anonymous
2025-3-21 10:33

数据只有手机号啊你这uearname是个id值也没啥鸟用啊哥们普通三要素的也不满足

回复|@ta|踩(0)|顶(0)
13楼

Anonymous
2025-3-21 10:32

tianqing：
我看很多xi统的URL地址带有 "gateway"这个目录，这是什么框架吗？还是说是开发人员都这么写
回复|@ta
1

springboot框架吧他这个路径有点像在原有基础上修改过的

回复|@ta|踩(0)|顶(0)