文章来源： 黑子的自我拯救

大家好，很久没更新有没有想我呢。

（大家想要的东西附在文章末尾，回复关键字【20200412】下载获取下载地址）

没错，就是那个越权帮别人支付订单，xss打自己cookie的男人，他回来了。

前段时间写的帮粉丝渗透棋牌app，被很多朋友私信问我到底怎么搞下来的，他们也想来这么一套一顿操作猛如虎的连环打法。

但是我怎么可能告诉你们我是admin/123456进去的？那不是有损我在你们面前树立起的高手形象？

不行，我得编个故事，告诉你们我不是用的0DAY，只要不是admin/123456，那我的形象还能基本维持住。

好了，闲话不多讲，咱们进入今天的主题活动。

那么，我们到底应该怎么去测试app？

总结一下很多人遇到这种棋牌app测试项目的几种问题。

在实际情况中，很多小型的非法的棋牌app都以经很少自己建立一个官网了，而是转为将app放在第三方下载站点，比如这个。

也就是说，在从网站获取信息之类的情况基本没有了，那么我们能收集信息的也就是app里面去入手了。

打开app以后他是这样的。

如果现在你们能回答问题的话，那我觉得，你们肯定会告诉我，当然是客服留言处xss来一发啦！

说实话，在对棋牌app测试中，xss盲打成功的结果基本为负数，当然，也并不是说xss就没用了，但是毕竟这个东西还是要看场景的。

关于还有人会说的注入，近段时间，我遇到的app测试，就一个，还是两个月前的事情了，当然，也可能是我太菜了，没注意到。

那么剩下的关键就是抓包了，除了上面我们说的注入，利用burpsuite相结合，来对链接进行测试之外，其实更多的，是获取到有用的信息，比如网站的ip地址，或者一些域名信息，虽然前面说了，很少有做官网的棋牌了，但那些都是一些小站，有野心和投入的还是会搭建官网，可以把PC端和手机端同步做起来的。

那么棋牌站点官网会不会存在注入等等这些漏洞呢？答案是可能会存在，比如下面这个案例。

我们一再强调，注入产生在数据交互的地方，上面有什么地方是能够产生数据交互的呢？眼睛不瞎手没断的朋友，看一眼，动下手就知道了。

我们在这个地方抓包，以下是数据包

POST /index/api/user_records.html HTTP/1.1Host: 5232yh.comProxy-Connection: keep-aliveContent-Length: 30Accept: application/json, text/javascript, */*; q=0.01Origin: http://5232yh.comX-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36Content-Type: application/x-www-form-urlencoded; charset=UTF-8Referer: http://5232yh.com/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=vtejfajscs9ig29ckdm6nm3dc0page=1&act_id=71&actuser=qq000

最终结果是act_id存在注入。

所以我们才讲，测试范围和方向大一点，能挖掘漏洞和利用漏洞的地方才会多，局限性太大，不管什么测试，都很难办。

在这里还得给大家讲的是关于网上一些文章说的把app放到类似于360显微镜，腾讯金刚的app漏洞测试平台去测试，希望大家还是冷静点，首先看看自己会不会逆向，看不看得懂安卓代码。

对我来说，不管你上面显示扫描出多少个漏洞，只要我够废物，漏洞永远找不到我。

另外，360显微镜最让人无语的一点，就是没有搜索app的功能，每次上网都只是给你一个链接，让你去看，我怀疑这个玩意儿就是他们收集信息的一个来源，简直坑人，至于漏洞扫描，大家可以看看扫描结果，如图。

如果按使用后感觉来说，我感觉根本对我没有什么屁用，起码对我想拿权限这个前提来说真的没什么屁用，何况这些扫描结果，是真的鸡肋。

还是自己抓包把，抓包是最实在的，很多人给我反馈过说抓不到有用的包，就我自己的经验来看，对棋牌app测试，抓哪里的包最容易抓到有用的？

那么我的答案就是，抓充值接口的包，为什么要抓充值接口？

首先，棋牌站点可以在后台设置充值接口，支付宝，微信等等二维码，如果设置在后台完成，并没有利用到第四方支付，那么就很有可能暴露后台地址链接，ip等等，比如上面我们说的至尊棋牌。

在这里，我没有抓包，只是点击，发现跳转到浏览器的一瞬间，跳转地址是一个180开头的ip地址，但是紧接着，又变成了一个第四方支付。

那么我们就直接抓包呗。

最后抓到链接为

http://180.xx.xxx.126/AppPay/zhifumao/index.aspx?gameid=101036&money=50&paytype=2

不要说我不给你们实践的机会，下面是app下载地址。

https://bccji.com/p/A0tohkckur8

想装X，就自己动手去搞。

得到ip后，访问是跳转到app下载地址的，所以，web服务肯定是在端口后面的，果然随后用nmap扫描到8081这个端口，访问，是后台。

肯定有人问我，那我怎么搞到后台系统里面去啊？

别问，问就是admin/123456

那么，在这里，我就得给大家推荐一款好用的工具了，一位表哥写的apk敏感数据提取工具。apkAnalyser （文章末尾有下载地址）

把要提取的apk文件放到apps里面，然后点击apkAnalyser.exe就行了，接着就可以在result目录下看到提取的数据了，

包括哈希，ip，路径等等。

当然，还要给大家提供一个appscan平台，地址为：

https://www.appscan.io/

邮箱注册一个账号，上传app就可以进行扫描提取数据信息。

反正是比那些什么玩意儿好用多了，一天到晚搞那么多花里胡哨的。

你问我既然有这个平台，为啥还要给个工具出来？还不是想让你们多个选择，憋说话，我爱你们就完事了。

看到这里，你们小小的脑袋里肯定很疑惑，我看了半天都不知道到底测试了啥，其实我也不知道测试了啥，反正就是凑字数。

测试个锤子，搞棋牌肯定要靠0DAY啊，测试测试，测个锤子试。

另外就是之前的那个可以改开奖号码彩票站点了。

首先，那个网站程序叫天恒，前台存在xss，在订单用户名处，可以盲打。

因为网站版本不同，有一部分用此程序的站点，可以后台getshell。

lib/classes/googleChart/markers/GoogleChartMapMarker.php

这个漏洞后续还是捡垃圾大队的P7给我的，得给他加个鸡腿。

另外，我已经在web指纹识别平台云悉提交了天恒的web指纹，以后大家就可以识别了。

承诺为大家准备的东西，已经准备好了。

两个admin/123456已经发货了。

这次，大家就别骂我了，有的0DAY是真的不能发出来，发两个这种没啥含量的，没玩过的朋友玩玩就行了。