小程序渗透记录 | 通过细节挖掘漏洞的艺术，从零基础到精通，收藏这篇就够了！

打折？不存在的，是“骨折”！

锁定一个卖船票的小程序，那叫一个“精细化运营”，二等座、一等座、上下铺，成人票、儿童票、老年票，价格分得那叫一个门儿清。这种站点，特征太明显了，简直是明示：“快来薅我羊毛！” 随便选个线路，下单，抓包！

创建订单的接口shipgateway/shipOrderApi/createOrder，嗯？没有sign？这年头还有这么奔放的接口？直接扔到重发器里，准备“大保健”。

常规操作，先改price字段，改成最小的数字，一顿猛发。结果，纹丝不动，该多少钱还是多少钱。看来，这小程序的定价逻辑有点意思，不是直接用price字段。没关系，咱就来个“字段轰炸”，把每个数字字段都改一遍，看看哪个才是“真命天子”。

改到passengerType，响应包终于报错了：“价格不匹配”。成了！看来这玩意儿控制的是用户类型。正常情况，1是成人，那2是啥？其他类型又是啥？这业务逻辑简直是写在脸上了，成人票100，那儿童票、学生票肯定有对应的价格。

一顿测试下来，passengerType和ticketPrice果然是“锁死”的，单改一个没用，得一起改。这下就好办了，把成人身份证改成儿童票的价格，嘿，成功！成人身份证买了张学生票，这波操作，秀！

ticketPrice=票价  passengerType=成人类型

ticketPrice=票价  passengerType=成人类型

那么改两个字段为其他儿童类型所对应的价格,成功以成人身份证生成低价学生票订单,并且身份证还是原本成人

等等，还能更骚一点！既然用户类型能改，那舱位等级呢？能不能用经济舱的价格，享受头等舱的服务？对比普通舱和头等舱的数据包，发现seatId这货控制了舱位等级。

"seatId":1  # 普通舱

直接改中等舱的seatId？没戏，虽然订单能创建，但舱位还是中等舱，价格反而变成了头等舱。看来，不能直接升舱，得换个思路。先生成一个头等舱的订单，然后把用户类型、票价、舱位，全部改成最低的，看看能不能绕过。

"seatId":0 // 头等舱  

嘿！成了！这小程序后端只校验了价格和类型是否匹配，对舱位没限制，可以单独改seatId！

"seatId":1 // 中等舱

成功生成低价头等舱订单，美滋滋！

0元上船？想得美！但...也不是不行

这还没完，有的船票有“携童免费”的政策，能不能把自己伪装成儿童，直接0元上船？

直接改类型和价格？没用！这回，决定是否免费的关键是身份证。得是儿童的出生年月才行。但是，添加乘客的时候，身份证号是实名认证的啊！这咋整？前端验证是啥逻辑？难道身份证认证的接口放到前端查询吗?

先添加一个正常的乘客信息，绕过验证。然后，在数据包里把身份证和日期改成儿童的，往大了写！如果能搞到婴儿身份证，那就更完美了。

现在有了儿童身份了，但是下单的时候，还得把身份证改回来，不然买了票也上不了船。找到一处可以携童免费的船票，选择上面添加的携带乘客信息，选择免费的票。

儿童免费票不能独立购买，需要携带一名成人。正常添加一名成人乘客，然后正常下单记录接口。

抓取到创建订单接口发送重发器,上方为添加的成人,下面则是免费的儿童身份儿童身份证,出生年月为自己修改的2022年身份证。

把儿童的出生年月和身份证号，改成自己的！成功创建订单！

一份钱买了两个成人的票，0元上船！可惜，这招后来被风控了，虽然可以支付订单，但是会自动退票，或者客服会打电话来。SRC的大佬们也不是吃素的。

订单号里藏着“潘多拉魔盒”？

生成订单后，订单号出现了。查询订单的接口会返回订单的乘客信息，用大小号替换订单号测试，可以越权查询到别人的订单信息！但是，订单号没法遍历，其他地方也找不到订单号的入口。

虽然没法直接利用，但是这个接口返回了用户的凭证字段：

"openId" :  "xxxxx",

这两个字段都是鉴权字段，有了它就可以像替换Cookie一样，冒充别人的身份，操作小程序的所有功能！如果这个订单接口可以遍历，那整个小程序的用户信息就全暴露了！

总结一下：

虽然订单接口不能遍历，但却挖出了新的思路。不经意的响应包可能会泄露关键信息。把输出的参数拿到输入点去使用，会有意想不到的惊喜！只要一个点可以越权查看到别人的某些东西，把他人信息的铭感的参数收集下来替换到其他输出点使用，尝试是否能看到对应的信息,鉴权字段往往不是每一个功能都固定的,它可以接收某些其他参数发送请求, 在我看到输出订单号可以返回铭感信息后,第一时间就是找其他输出其他用户信息的功能,评论区 投诉这些,和这个思路是相同的

地址泄露：一不小心，就“社工”了全站？

日常扫荡小程序，挑了个功能点多的小程序，业务是买商品，支付漏洞和逻辑漏洞肯定少不了。

地址管理功能，出现了地址的id号。小程序大多用JWT鉴权，但是常见的JWT攻击都试过了，没用。

/buyer/address/list/

购买商品，正常选择收货地址，抓包！

buyer/product/retail/submitOrderPa接口，价格和斤数都是明文的，直接0元购？没戏，后端做了校验。

但是，注意这里的addrId！这不就是收货地址的id吗？可以遍历！改成别人的id，是不是就能看到别人的地址了？改成12000，生成订单，回到小程序看订单收货地址。

成了！拿到别人的收货地址和手机号了！

手机号是脱敏的？没事，一般都是前端脱敏，F12看看源代码！或者，利用之前提到的查询订单号接口，就可以得到脱敏的信息！

通过这两个创建订单接口和查询订单接口拿下全站收货地址包括二要素信息

0元购：这波啊，是“白嫖”！

经典补天捡垃圾，公司名直接搜小程序，一般不会搜错（这次翻车了）。业务是卖文创商品，可以买东西。

选个最贵的商品，下单支付，停留在待支付页面，打开BP抓包。

在支付界面打开BP拦截,拦截每一步请求找到决定价格的数据包。

看到totalFee费用了！直接改成10，也就是1分钱！放掉所有包，直到出现扫码二维码。

扫码支付，成功！0元购！

难掩激活火速通知好基友 今晚摆两桌，这种改价格的洞被我捡到了

老实了 厂商限定了测试的域名当时没注意看,因为很多域名想着应该不会歪, 结果去资产列表CTRL+F完全对不上host,反应了前期信息收集的重要性,撤回摆两桌 只能恰两个馒头了

%模糊查询+size：信息泄露的“完美风暴”？

经典小程序开局，注册登录，打开BP记录所有功能点数据包。

输入一个符号*模糊查询 匹配到所有公司 BURP抓到了记录铭感信息的数据包

把这个包发送到发器 数据很少 只有十几条数据。

修改这个请求的size字段=9999 让显示的公司字节数据变多,使其显示更多的铭感信息。

拿下推荐岗位功能所有公司联系人的二要素信息。

其他功能点均存在此问题,大部分都是页面只能看到企业联系人姓名,打电话联系也是虚拟号码,但是在响应体中确会显示所有的手机号码和姓名,小程序业务也是求职里面包含大量的公司企业,通过响应包缺陷+模糊查询*+size字节+Hae神器匹配整站企业联系人二要素全部泄露,并未全部列出但目测2w+条

培训模块

大龄工作

社会招聘

见习岗位

..........

论坛渗透：是道德的沦丧，还是人性的扭曲？

经授权对一个社区论坛测试,不得不说 除了SRC外 互联网站点大多比较脆弱,如果有技术并且又不老实的 犯罪成本太低了,网络安全任重而道远,基本全是简单的鉴权问题,有的是压根没鉴权,有的鉴权字段写了但是并没有生效,简单记录几个有代表性的问题

帖子置顶：白嫖一时爽，一直白嫖一直爽？

BURP渗透抓包工具抓取小程序的数据包 在主页点击发帖功能 ,下面有一个功能是花钱对帖子置顶

随意输入帖子的文案 然后点击发布后置顶[/api/client/topics/pay_configs] 接口显示出了对应的价格字段还有所持续的时间。

正常走发布帖子的流程,记录所有接口 这个接口数据包回显了对应的价格字段 并且没有对应的sing或者加密一类的东西和后端做校验,等于是前端校验价格还有置顶的时间,然后后端就返回了生成订单,那么我们篡改价格并且拉成时间就造成了漏洞问题了 /api/client/topic_top_orders。

修改对应的价格还有时间 会生成新的订单号,完全前端校验。

发布帖子置顶付款的业务流程是这样的三个接口

/api/client/topics  帖子内容文字和标签

第三步接口利用第二步生成的订单号去跟后端请求,后端反馈加密还有付款的信息,但是这里加密完全没有作用,哪怕是一个空订单后端都会返回支付参数,加密完全是摆设,订单号也没有做比对。

知晓了业务流程后续就是BP抓取生成订单的数据包 api/client/topic_top_orders 进行拦截篡改操作 价格改小就可以完成0元购,点击付费 就会拦截数据包修改价格然后一直放行就行了出现付款的选择 选择二维码支付 扫描付款就行了。

文件上传：STS凭证泄露，阿里云沦陷？

在每一个上传图片的功能点 头像 帖子 图片 上传会后端会返回阿里云的sts临时凭证 ak sk 还有存储桶的信息。

有了这些信息最大是危害是利用凭证登录这个阿里云桶从而接管整个小程序里面存储的图片信息,或者是利用脚本来进行覆盖小程序内所有的图片。

```
api/common

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*********************************