一次信息泄露到越权支付的实战
2024-4-12 21:25:10 Author: mp.weixin.qq.com(查看原文) 阅读量:13 收藏

这是一次小程序的漏洞挖掘,漏洞在测试期间已上报

访问排行榜

从数据包中可以看到openid泄露,这里其实泄露了很多openid,为了方便只截了一个,接下来配合积分兑换越权使用他人账户兑换物品

Burpsuite中设置,将请求中原有的我的openid替换为排行榜中的第一名的openid

out2******
进行礼物兑换,换个可乐勋章

可以看到地址信息是空的,没有地址无法购买,而添加地址进行的认证是使用的OpenSession进行验证,无法越权上传地址,所以只能通过欺骗前端绕过填写地址,经过数据包读取,发现是生成订单时返回的地址信息addressInfo为空,
则可以通过修改订单的响应数据包,将创建订单时返回的地址数据替换为我们的地址数据

可以看到目前的请求数据包中的openid和响应中的addressinfo都被替换为了我们的
原数据包:


替换后的数据包:


得到响应


直接兑换成功,实现越权使用他人积分购买商品

可以看到我本人是没有奖品兑换记录和积分的,无法购买到该商品,所有的积分扣除计算都来自于其他用户

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放

往期回顾

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips

原文:

https://forum.butian.net/share/1137


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247494223&idx=1&sn=a4db2a498a2eccb4b04bf338b6d17ebc&chksm=e8a5e02cdfd2693a030b23d30102485ec6f0c80ec97b26ac7e807ceb0be7b65404921c32a578&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh