yodo建站系统设计不当可刷钱(本地演示)

  • A+
所属分类:漏洞时代
摘要

路人甲DOYO通用建站系统采用PHP与MYSQL开发,是免费开源的CMS建站、企业建站系统,可广泛用于个人、企业、政府、机构等众多网站建设


漏洞作者:

路人甲

详细说明:

DOYO通用建站系统采用PHP与MYSQL开发,是免费开源的CMS建站、企业建站系统,可广泛用于个人、企业、政府、机构等众多网站建设

官网地址:wdoyo.com

官方提供demo但数据不可以入库:http://demo.wdoyo.com/

所以只能本地演示了

本地搭建以后注册个会员,点击在线充值查看一下当前的余额(我这里之前刷的成了29.8)

yodo建站系统设计不当可刷钱(本地演示)

接下来开始刷钱~先来到首页随便选一个商品

yodo建站系统设计不当可刷钱(本地演示)

选好最后点击立刻购买

yodo建站系统设计不当可刷钱(本地演示)

然后burp抓包,把数量改成-1(-10,-100甚至-1000都可以~)

yodo建站系统设计不当可刷钱(本地演示)

之后查看价格已经变成了-593

yodo建站系统设计不当可刷钱(本地演示)

这时候把信息都填好以后点击提交

yodo建站系统设计不当可刷钱(本地演示)

支付以后再返回会员中心查看一下余额已经变成了622.80~

yodo建站系统设计不当可刷钱(本地演示)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: