信呼OA app渗透测试

app渗透之信呼OA实践

1.配置fiddler抓包工具

打开模拟器,配置代理地址为本机地址192.168.1.104;端口8888

IMG_256

打开浏览器访问主机地址:8888

IMG_257

下载证书

2.配置OA客户端与服务端

##

先下载信呼OA服务端,在phpstudy搭建。

IMG_258

将模拟器app中的系统地址改为本地服务器地址

IMG_259

因为是开源框架,咱们白盒测试一下,先输入默认密码进入,查看功能点

IMG_260

3.手工漏洞检测

外出出差申请一栏有文本框,试一下xss注入

IMG_261

发现有弹窗

IMG_262

此处存在xss攻击。

IMG_263

文件上传点发现没有限制文件类型,存在文件上传漏洞。传入php一句话木马。burp抓包

IMG_264

抓到返回包,访问文件路径发现php文件后缀被改为uptemp,上传图片马。

尝试几次均未成功通信。

posted @ 2023-05-15 10:04  fugodd  阅读(519)  评论(0编辑  收藏  举报