赏金猎人学习纪录

前言：

学习无止尽，在每天无尽的挖洞中，挖不到赏金就是菜。所以每天要学会扩展思路，多学习，有的时候漏洞很简单，你挖不到别人挖到，在某种程度就是思路没想明白导致的。很多时候不管是看其他公众号还是国外的一些平台，一个简单的SQL注入、XSS、越权、逻辑漏洞，在看文章时觉得简单无比，但是实际你去上手挖不一定能搞到这个漏洞，就像月神师傅说的，生活处处是漏洞，卷就完事了。

漏洞一：业务逻辑漏洞

这里的漏洞是一个APP上的漏洞，在这个APP中，分为会员和非会员。不同的权限导致他们可以添加不同的零售商。例如普通会员只能添加三个、会员却可以添加很多个。那如果非会员操作了会员的东西这个洞不就产生了嘛。

1、非会员添加三个零售商。

2、添加后抓取返回包，在返回包中就能返回已经添加的三个商户的一些ID信息。到这里我们思考如果把返回包改为空，是不是回到了原来的未添加状态。

‍3、重新进入页面，修改返回包为空。

{"success":true,"data":{"merchants":[]}

漏洞二：代码执行

这个漏洞是一个国外的大哥操作的，我似懂非懂。有完全理解的师傅也能留言让我学习学习，我讲讲我认为的思路吧。这个功能首先是一个类似记录你操作的功能，输入你的URL后执行记录的一些操作。这个大哥将URL转移到他的博客。

然后在博客中，应该是有一个gitlab开源平台。然后点击这个平台触发嵌入的payload。这个payload就是在child_process子进程中去执行touch创建文件的命令。

记录完毕后，执行导出功能。根据上面的payload闭合并执行命令

导出JS后，用npm去安装@elastic/synthetics然后执行触发

这里我不明白，如果用户不去执行他的js，那这个漏洞怎么搞。当然漏洞是确定的哈，毕竟嵌入执行了。

漏洞三：逻辑漏洞？控制访问不正确？

这个漏洞大概是一个分享链接吧，首先设置一个密码，然后用户输入正确后给他一个分享的链接。当原来密码修改后，这个链接依然有效。

输入正确密码，得到ID和邀请链接

更新密码。依然能访问

总结：

在这三个案例中，其实都是很简单的一些漏洞。认真学习都可以发现，但是我想告诉bro们的是漏洞是一个简单的漏洞，重要的是思路和思考。然后这也是我的第二篇文章，有诸多不足还情bro们见谅。中间打码很多毕竟是学习用途也是人家的东西，我摘取过来也是用于记录和学习。希望大家也respect 这些思路分享的白帽师傅，后面想发一些学习的游戏漏洞知识，当然这个感谢一些游戏漏洞的师傅，特别是月神师傅哈，在刚学习的时候提供了很多帮助。（多多关注、可以加大唐菜狗好友交流）

原文始发于微信公众号（进击的HACK）：赏金猎人学习纪录