一次信息泄露到越权支付的实战
2022-8-13 08:5:13 Author: 雾晓安全(查看原文) 阅读量:19 收藏

免责声明
由于传播、利用本公众号雾晓安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

文章来源:奇安信攻防社区(whyubullyme

原文地址:https://forum.butian.net/share/1125

0x01 前言

这是一次小程序的漏洞挖掘,漏洞在测试期间已上报。

0x02 思路

访问排行榜

从数据包中可以看到openid泄露,这里其实泄露了很多openid,为了方便只截了一个,接下来配合积分兑换越权使用他人账户兑换物品

out2******
进行礼物兑换,换个可乐勋章

可以看到地址信息是空的,没有地址无法购买,而添加地址进行的认证是使用的OpenSession进行验证,无法越权上传地址,所以只能通过欺骗前端绕过填写地址,经过数据包读取,发现是生成订单时返回的地址信息addressInfo为空,则可以通过修改订单的响应数据包,将创建订单时返回的地址数据替换为我们的地址数据。


可以看到目前的请求数据包中的openid和响应中的addressinfo都被替换为了我们的原数据包:

替换后的数据包:

得到响应

直接兑换成功,实现越权使用他人积分购买商品

可以看到我本人是没有奖品兑换记录和积分的,无法购买到该商品,所有的积分扣除计算都来自于其他用户

来源:李白你好


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDM2MTE5Mw==&mid=2247494429&idx=2&sn=603397e00b5491cbbbe6243af2dc9235&chksm=ce68249bf91fad8d3c980906ba4786179630b1f8ac0dfad1c7275a07f34d45bc32182872f87e#rd
如有侵权请联系:admin#unsafe.sh