一次信息泄露到越权支付的实战

admin 2022年7月18日09:52:17评论70 views字数 673阅读2分14秒阅读模式
免责声明
由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!


文章来源:奇安信攻防社区(whyubullyme

原文地址:https://forum.butian.net/share/1125

0x01 前言

这是一次小程序的漏洞挖掘,漏洞在测试期间已上报。

0x02 思路

访问排行榜

一次信息泄露到越权支付的实战

数据包中可以看到openid泄露,这里其实泄露了很多openid,为了方便只截了一个,接下来配合积分兑换越权使用他人账户兑换物品

一次信息泄露到越权支付的实战

一次信息泄露到越权支付的实战一次信息泄露到越权支付的实战

out2******
进行礼物兑换,换个可乐勋章

一次信息泄露到越权支付的实战

可以看到地址信息是空的,没有地址无法购买,而添加地址进行的认证是使用的OpenSession进行验证,无法越权上传地址,所以只能通过欺骗前端绕过填写地址,经过数据包读取,发现是生成订单时返回的地址信息addressInfo为空,则可以通过修改订单的响应数据包,将创建订单时返回的地址数据替换为我们的地址数据。

一次信息泄露到越权支付的实战

可以看到目前的请求数据包中的openid和响应中的addressinfo都被替换为了我们的原数据包:

一次信息泄露到越权支付的实战

替换后的数据包:

一次信息泄露到越权支付的实战

得到响应

一次信息泄露到越权支付的实战

直接兑换成功,实现越权使用他人积分购买商品

一次信息泄露到越权支付的实战

可以看到我本人是没有奖品兑换记录和积分的,无法购买到该商品,所有的积分扣除计算都来自于其他用户

一次信息泄露到越权支付的实战

一次信息泄露到越权支付的实战



往期推荐



红蓝对抗最全信息收集工具整理

白哥给大家写POC~

红蓝对抗自动化利用工具整理

实战一次真实的域渗透拿下域控

一次信息泄露到越权支付的实战

原文始发于微信公众号(李白你好):一次信息泄露到越权支付的实战

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月18日09:52:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次信息泄露到越权支付的实战http://cn-sec.com/archives/1183316.html

发表评论

匿名网友 填写信息