记一次小程序逻辑漏洞挖掘
2023-12-1 22:16:20 Author: mp.weixin.qq.com(查看原文) 阅读量:15 收藏

声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。

背景:授权目标站为xxx单位,微信搜索一下出现几个小程序,拿其中一个挖掘过程记录一下。

session_key泄露导致的任意用户登录

通过点击授权登录,抓包发现泄露 session_key 值。

   

解密encryptedData 值,替换任意手机号。

在数据包中替换 加密过后的 encryptedData 值,成功绑定登录,很多情况一个微信只能绑定一个手机号,可在这里修改一下openid即可随机绑定(理论上只要知道使用该小程序的用户手机号即可替换登录成功。)

积分购

我积分是0分,点击积分管理兑换礼品显示积分不足。

在经历一次正常答题过程后 ,积分涨了20,但是还是不能兑换礼品,礼品最低400分。

这节奏太慢了,还得答题,答题还有次数限制,还要答案正确,这何时才能兑换到心仪的礼品。

仔细看接口,其中答题的接口返回数据包居然泄露了正确答案。

利用该缺陷可保证次数限制内,每次答题都满分,好不容易积分超过400后去兑换礼品。

把我当场气吐xue,提示库存不足,合着在这骗我答题呢。

还想着配合之前的任意手机号绑定,薅波羊毛(说笑),事实证明免费的东西是最贵的。

如果你是一个长期主义者,欢迎加入我的知识星球(优先查看这个链接,里面可能还有优惠券),我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

往期回顾

xss研究笔记

SSRF研究笔记

dom-xss精选文章

2022年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips

福利视频

笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品

https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374

技术交流

技术交流请加笔者微信:richardo1o1 (暗号:growing)


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247492800&idx=1&sn=fb9628d26a6f2da15c4e678a7713c0bd&chksm=e8a5eea3dfd267b5c54bb42c0eeb041d1704198041de2521ed6e6878764884f15d2b143eb5be&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh