发布文章后马上更新网站主页,pc端网站建设价格明细表,wordpress文章半透明,wordpress设置中文失败edu小程序挖掘严重支付逻辑漏洞
一、敏感信息泄露
打开购电小程序 这里需要输入姓名和学号#xff0c;直接搜索引擎搜索即可得到#xff0c;这就不用多说了#xff0c;但是这里的手机号可以任意输入#xff0c;只要用户没有绑定手机号这里我们输入自己的手机号抓包直接进…edu小程序挖掘严重支付逻辑漏洞
一、敏感信息泄露
打开购电小程序 这里需要输入姓名和学号直接搜索引擎搜索即可得到这就不用多说了但是这里的手机号可以任意输入只要用户没有绑定手机号这里我们输入自己的手机号抓包直接进去在进入的过程中发现一个很有意思的包
前端js中竟然泄露了debug模式的密码当时试了一下确实登录进了debug模式但是忘截图了这妥妥一枚中危敏感信息泄露了 继续挖掘
二、垂直越权
登录过程中发现这个数据包
通过roleid和type来鉴权一开始的roleid为4type为学生端我们直接修改为6到教师端 成功返回教师端的功能我们直接修改后续返回包即可登录教师端但是这里之后点击的每一个包都需要修改数据包有点麻烦
三、多个敏感信息泄露
从下图数据包中可以看到通过getPersonInfo功能点的accountNo参数可以获取学生的敏感数据包括代表个人身份的PersonUUID和UserId和手机号WxopenId和账号密码等敏感信息 既然这样直接遍历accountNo参数就可以获取全校学生的敏感数据了
又找到个查询一卡通信息的接口 同样可以遍历获取全校学生一卡通账号和余额信息虽然危害不大但也是一枚越权导致的敏感信息泄露 继续测试发现一接口需要配合第一个数据包获取的PersonUUID使用 虽然我获取的用户没有填这些信息但是这个功能点的泄露可以看出危害多大具详细的敏感信息只要配合第一个遍历获取到的PersonUUID和accountNo配合遍历即可获取全校学生信息一枚高危到手最后上正文
严重支付逻辑漏洞
登录进来后点击电费充值
选好需要充值的宿舍之后电脑开始抓包点击充值抓到如下数据包
发现这个包为校验包用来校验订单金额改了这个包后续就做不了事了直接放掉得到下一个包
这个包就是调用微信支付api进行订单支付的数据包了直接修改totalfee参数即可 这里还存在一个知识点就是调用支付只能手机上支付电脑无法进行支付所以我们需要抓取手机上的包才能进行后续操作
这里教大家一个简单的方法让你的好朋友给你开个热点然后你电脑连上他的热点查看获取到的ip然后在burp里添加获取的ip进行代理端口随意
然后在手机上也连上热点然后给手机添加代理
填写刚刚添加的ip和端口保存即可抓取手机数据包了
最后也是一分钱支付到账一开始充值的五块钱也就是说可以一分钱到账任意数额的电费漏洞危害大利用难度低直接给了个严重。
