对某微信小网站的逻辑漏洞挖掘

admin 2024年4月18日20:45:43评论5 views字数 593阅读1分58秒阅读模式

对某微信小网站的逻辑漏洞挖掘

对某微信小网站的逻辑漏洞挖掘

对某微信小网站的逻辑漏洞挖掘

对某微信小网站的逻辑漏洞挖掘

目录

○ 前言

○ 漏洞挖掘过程

    ◇ 网站主页

    ◇ 1.ID遍历,逻辑越权

    ◇ 2.泄露的wx配置文件

○ 声明

前言

对某微信小网站的逻辑漏洞挖掘

NO.1

微信中有很多有趣的小游戏和互动网站,其中不乏有类似于好友默契测试,坦白说匿名说等。

这篇文章就是针对于某个好友默契测试的小网站的逻辑漏洞挖掘。

漏洞挖掘过程

对某微信小网站的逻辑漏洞挖掘

NO.2

网站主页:

对某微信小网站的逻辑漏洞挖掘

直接网页端访问,提示需要在微信客户端打开链接

对某微信小网站的逻辑漏洞挖掘

不犹豫,直接配置好抓微信的数据包,一切准备就绪,成功抓到

对某微信小网站的逻辑漏洞挖掘

1.ID遍历,逻辑越权

传统艺能,我们自己手动创建一份问卷,得到一个ID参数

对某微信小网站的逻辑漏洞挖掘

抓包后发现两个参数ID

分别是,id=10912652,id=10912653

对某微信小网站的逻辑漏洞挖掘

对某微信小网站的逻辑漏洞挖掘

尝试遍历其他人的出题信息,可以手动设置

随机测试:1091261210912602

对某微信小网站的逻辑漏洞挖掘

对某微信小网站的逻辑漏洞挖掘

尝试到查看答案界面,提示付费1.9元?付费?这辈子不可能付费的!

对某微信小网站的逻辑漏洞挖掘

此时回到已经回答完问题的程序中,重新把需要查看的ID放进去即可

对某微信小网站的逻辑漏洞挖掘

注意以下标签即可

<divclass="option-itemactive">

2.泄露的wx配置文件

对某微信小网站的逻辑漏洞挖掘

声明

对某微信小网站的逻辑漏洞挖掘

NO.3

本文作者:A

本文编辑:Yusa

感谢 A 师傅 (๑•̀ㅂ•́)و✧

往期回顾

对某微信小网站的逻辑漏洞挖掘

获取vCenter锁屏主机hash

对某微信小网站的逻辑漏洞挖掘

Windows 权限提升

对某微信小网站的逻辑漏洞挖掘

使用 Nmap 进行扫描和枚举

对某微信小网站的逻辑漏洞挖掘

对某微信小网站的逻辑漏洞挖掘

扫码关注我们

天虞实验室为赛宁网安旗下专业技术团队,重点攻关公司业务相关信息安全前沿技术。

原文始发于微信公众号(天虞实验室):对某微信小网站的逻辑漏洞挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月18日20:45:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   对某微信小网站的逻辑漏洞挖掘https://cn-sec.com/archives/2670185.html

发表评论

匿名网友 填写信息