0
前言
作为一名资深的舔狗,每天挖洞赚钱就是为了给女神送礼物,在挖某家新开的SRC时,在它的一个小程序发现了一处逻辑缺陷,原本以为最多也就混个低危,结果交上去过了,还是高危,这给鼠鼠激动坏了,感觉距离女神又近了一步,于是写这篇文章,分享一下鼠鼠的挖掘过程,希望给各位师傅提供一点挖洞的思路。
1
实战过程
这个小程序长这样,也是平平无奇,就是一个单纯的购物小程序而已
找了一会可能存在那些漏洞,在一处收货地址修改处有了些许头绪
我尝试着选个偏远地区的地址,看看有什么变化
结果显示不支持发货
鼠鼠不信这邪,直接开启bp一顿测试
在修改地址的地方抓包尝试
如下就是修改地址的数据包
地址一般会分为五个部分:省、市、县、乡、村,五个部分对应五个地址编码
我们的目的是为了绕过对不可发货地址的检测,在这里我尝试把“provinceCode”中的“650000”改为“650000.0”
绕过成功
也可以发起订单了
交上去想混个低危,结果出乎意料
不错不错!这一定是因为我心中有爱。
心中甚喜,给女神的礼物就在这个平台买了
圈子专注于更新src相关:
1、维护更新src专项漏洞知识库,包含原理、挖掘技巧、实战案例2、分享src优质视频课程3、分享src挖掘技巧tips4、小群一起挖洞
图片
图片
图片
图片
图片
图片
原文始发于微信公众号(Z2O安全攻防):【SRC实战】我给女神送礼物,女神骂我是BT
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论