文章总结: 本文分享微信小程序sessionkey泄露导致的任意用户登录漏洞挖掘过程。作者在目标系统登录框尝试弱口令无果后,利用微信快捷登录获取sessionkey,结合公开信息获取用户手机号实现登录。还发现绑定手机号接口无鉴权、学生信息泄露、任意文件删除及验证码爆破等多个安全问题。文章建议加强鉴权、隐藏sessionkey并设置登录限制,同时强调漏洞挖掘应合法合规。 综合评分: 81 文章分类: WEB安全,渗透测试,红队,实战经验
奇妙的任意用户登录
dgdyn dgdyn
蚁景网络安全
2026年7月6日 17:47 湖南
在小说阅读器读本章
去阅读
点击蓝字关注 | 更多原创技术好文
声明:本文旨在分享网安技术心得,利用本公众号信息而造成的直接或间接的后果及损失,均由使用者本人负责。与本公众号及原作者无关
刚刚进行了微信sessionkey的学习,正准备实战一下,就发现了这个神奇的网站,预知后事如何.请继续向下看去
- 1. 目标
- 1. 开局一个登录框
- 1. 首先,直接弱口令走起来,万一留有测试的账号呢
尝试,1311111111,13333333333.13888888888,未果
测试多了还有验证码防止爆破,也就不再继续尝试爆破了
弱口令g
- 1. 点击微信快捷登录,发现sessionkey(步入正题)
点击允许,数据包发现sessionkey参数
找到我们github上找到的sessionkey利用插件,把session_key(加密解密的key)encrypt_data(向数据库提交的值)iv(偏移量)的值都复制到工具上进行利用
但是怎么找到这个系统用户的手机号呢(万能的贴吧,抖音等地方获得了老师的手机号)
成功登录,任意用户登录加1
- 1. 发现这个接收了sessionkey的加密数据后,还会发送一个绑定手机号的数据包(又一个任意用户登录)
修改请求包的user参数,发现没有鉴权,直接输入用户手机号即可绑定登录
感觉离谱,任意用户登录又加1
- 1. 输入名字即可查看学生学籍信息(编码解码后名字为张杰)
敏感信息泄露加1
- 1. 维修处可以上传图片,尝试利用
准备试试绕过,结果白名单加黑名单过滤,文件上传gg
但是删除文件发现是直接DELETE请求,还是直接删路径,只能说开发太牛了,真的离谱
测试不同用户文件可以直接删除,没有进一步尝试(害怕系统崩溃),任意文件删除加1
- 1. 发现这个还有一个预约平台,鉴于上个系统的离谱,继续尝试利用(非原图,原图特征太明显了)
进入后发现只有验证码登录
尝试爆破四位数验证码
成功登录,任意用户登录又加1
总结:第一次碰见这么多的任意用户登录,建议加强鉴权,隐藏sessionkey值,登录设置次数要求,防止爆破.另外,进行漏洞挖掘,建议证明即可,未经客户允许禁止扩大危害.盲目扩大危害可能有法律风险。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:蚁景网络安全 dgdyn dgdyn《奇妙的任意用户登录》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论