记一次奇怪的越权

某次某个厂商发了一个项目，虽然最后测出来的洞偏出了范围，但是感觉过程还是很有趣的。

首先根据厂商的范围找到他的公众号，遂对其中的一个功能点展开测试。

这是一个提供报修功能的公众号。

然后填写资料报修设备产品，开启抓包，点击该处功能点

会抓到这个一条请求，可以看到这个功能点的值明显加密了，但是不到黄河心不死，我们来盲测一手，因为他的字段名称是username所以我试了一波用户名典。

通过username  出来了，手机号和对应的uid值。

然后跑用户名字典

蹬蹬，看来好运还是站在我们这边，第一处越权get，这个越权算是打开了我们这的突破口，因为通过这个越权我们又获得了好多东西，

其他用户的手机号和 uid 

然后通过出来的uid还能接着越权

同样抓包抓到的某个请求

通过第一处获取到的uid

来进行越权操作

39de7e0d5f9744329ae8f421f8303e80

f67a9e3dd59447078ec122291bc887ce

b10c63c0536748a499f1bbe12ca43f3d

如下图

等等

然后还有一处越权在

看url就知道了  user  产品 添加

通uid、 可以帮越权给其他用户添加产品 这处也是通过uid 越权的

其实上面最重要的就是这个加密的参数值怎么破解，怎么绕过。我们用拼音字典摆脱了困境。随后获得了uid等参数值，然后拼接uid （因为这个是加密的不可解密）我们洞生洞，然我们可以更加扩展一下。最后完成多处越权攻击。