app渗透之信呼OA实践
1.配置fiddler抓包工具
打开模拟器,配置代理地址为本机地址192.168.1.104;端口8888
打开浏览器访问主机地址:8888
下载证书
2.配置OA客户端与服务端
##
先下载信呼OA服务端,在phpstudy搭建。
将模拟器app中的系统地址改为本地服务器地址
因为是开源框架,咱们白盒测试一下,先输入默认密码进入,查看功能点
3.手工漏洞检测
外出出差申请一栏有文本框,试一下xss注入
发现有弹窗
此处存在xss攻击。
文件上传点发现没有限制文件类型,存在文件上传漏洞。传入php一句话木马。burp抓包
抓到返回包,访问文件路径发现php文件后缀被改为uptemp,上传图片马。
尝试几次均未成功通信。
标签:文件,app,OA,地址,上传,信呼 From: https://www.cnblogs.com/fugodd-hacker/p/17401005.html