进入微信,搜索盲盒小程序发现有很多的小程序

image-20250713124718273

这里我们用黄鸟抓包,找到相应的地址

去fofa 收集子域名

image-20250713140502292

找到了一个测试站点

image-20250713140543354

弱密码登录,很幸运,直接登录成功

tips:如果没有成功登录,可以用密码喷洒

image-20250713140639212

接下来就是 看看这几个板块有没有利用点

image-20250713140808417

ak ,sk暴露,这里是测试站点,我也去试了连接,但是连接不上

image-20250713140851926

在盒子这里也有一个利用点

可能存在文件上传

我们上传图片,拦截修改后缀 发现后端没有过滤php,成功上传我们的shell

连接蚁剑

image-20250713141141936

后面进行代码审计,发现他还有一个new的站在运行

image-20250713141220732

image-20250713141251134

也成功找到了mysql连接文件,很可能他上线就是这个数据库,连接看一下

image-20250713141439475

2000多个,可能还在测试中

看看unix时间戳 image-20250713141527709

这套代码可能还有其他的漏洞,还需要进行更细致的代码审计

总结:

信息收集很重要

弱口令爆破别忘掉