信呼OA app渗透测试

app渗透之信呼OA实践

1.配置fiddler抓包工具

打开模拟器，配置代理地址为本机地址192.168.1.104；端口8888

打开浏览器访问主机地址：8888

下载证书

2.配置OA客户端与服务端

##

先下载信呼OA服务端，在phpstudy搭建。

将模拟器app中的系统地址改为本地服务器地址

因为是开源框架，咱们白盒测试一下，先输入默认密码进入，查看功能点

3.手工漏洞检测

外出出差申请一栏有文本框，试一下xss注入

发现有弹窗

此处存在xss攻击。

文件上传点发现没有限制文件类型，存在文件上传漏洞。传入php一句话木马。burp抓包

抓到返回包，访问文件路径发现php文件后缀被改为uptemp，上传图片马。

尝试几次均未成功通信。