PHP逻辑漏洞利用实战(第1题)

最新推荐文章于 2023-04-14 16:32:58 发布
最新推荐文章于 2023-04-14 16:32:58 发布
阅读量286 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36933272/article/details/100183171
版权

逻辑支付漏洞:攻击者通过修改交易金额、交易数量等从而利用漏洞, 如Burp修改交易金额、 在支付时直接修改数据包中的支付金额,实现小金额购买大金额商品。
开启burp,浏览器设置代理,burp设置intercept is off
登陆进入页面,两本书各选数量1,设置intercept is on,支付,截取到数据包
在数据包修改bill1=0,bill2=0
放包(intercept is off),支付成功得到key
在这里插入图片描述还有一种不需要用到burp的方法
F12查看源代码,value没做验证,直接修改value为0,购买,得到key
在这里插入图片描述

qq_36933272
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 逻辑训练小目一(附我的答案)
lifushan123的专栏
04-01 6731
【程序1】 目:古典问:有一对兔子,从出生后第3个月起每个月都生一对兔子,小兔子长到第三个月后每个月又生一 对兔子,假如兔子都不死,问每个月的兔子总数为多少? 1.程序分析: 兔子的规律为数列1,1,2,3,5,8,13,21.... 【程序2】 目:判断101-200之间有多少个素数,并输出所有素数。 1.程序分析:判断素数的方法:用一个数分别去除2到sqrt(
墨者学院_PHP逻辑漏洞利用实战(第1)
cc_de_csdn的博客
08-22 331
1.目要求 2.如,这考查的是brupsuite的使用 3.打开brup,开启浏览器代理,根据目的要求帮小明购买书籍,发现小明一毛钱也没有,没关系,打开brup,找到购买页面的报文,即有这一行的报文:bill1=20&bill2=20&num1=1&num2=1&uid=1,bill1和bill2代表的是书籍的价格。将报文发送到reteaper,将价...
Thinkphp常见漏洞利用
未完成的歌~的博客
04-14 3798
ThinkPHP是一个开源,快速、简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP。使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,是一款跨平台,跨版本以及简单易用的PHP框架。
逻辑漏洞1
qq_61714717的博客
12-19 207
逻辑漏洞
PHP代码审计11—逻辑漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-09 1521
逻辑漏洞基础与示例分析
php代码-ctf payload 第九 反序列化 do you know robot
07-16
"php代码-ctf payload 第九 反序列化 do you know robot"显然是一个关于PHP反序列化漏洞利用实战目。下面将详细解释相关知识点,并结合可能的`main.php`和`README.txt`文件内容进行分析。 **反序列化** ...
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)
最新发布
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1)、PHP代码分析溯源(第2)、PHP逻辑漏洞利用实战(第1)、SQL手工注入漏洞测试(Access数据库)
005-CTF web型总结-第五课 CTF WEB实战练习(一).pdf
07-09
2. **计算器**:这道可能测试的是逻辑漏洞或代码逻辑的理解。参赛者可能需要利用程序设计中的错误计算结果,比如不正确的条件判断或异常处理。 3. **$_GET**与**$_POST**:这两关注的是PHP中的两种常见表单数据...
基于PHP的视频网站系统源码.zip
08-28
【标解析】 ...通过深入研究这套源码,开发者不仅可以学习到PHP编程和Web开发的实战技巧,还能了解到一个完整的视频网站系统是如何设计和实现的,这对于提升个人技能和解决实际问能力非常有帮助。
PHP实例开发源码—家教网站系统.zip
11-12
为了提高代码复用性和可维护性,可能还引入了模板引擎(如Smarty或Twig),将PHP逻辑与视图分离。 4. **表单验证与过滤**:在用户提交表单时,PHP需要进行数据验证,防止SQL注入、XSS攻击等安全问。可以使用内置...
墨者 - PHP逻辑漏洞利用实战(第1)
吃肉唐僧的博客
07-02 403
登录进去之后,发现余额为1,但是买两本书需要20元。 用bp抓包修改金额数据 成功
php逻辑_13道程序员逻辑思维编程测试
weixin_28684757的博客
03-09 333
编程逻辑测试,测试你能答对多少?1、请问同时满足这样条件的数:被10除余9,被9除余8,被8除余7,在100至1000之间,有几个这样的数?2、有一对兔子,从出生后第3个月起每个月都生一对兔子,小兔子长到第三个月后每个月又生一对兔子,假如兔子都不死,问每个月的兔子总数为多少?3、判断101-200之间有多少个素数,并输出所有素数。4、打印出所有的"水仙花数",所谓"水仙花数"是指一个三位数,其各...
常见的 php 漏洞
热门推荐
国内某知名游戏公司小菜鸡工程师
11-19 1万+
关注漏洞,关注网络安全
PHP 逻辑思维
weixin_33994429的博客
08-06 341
约瑟夫环 一群猴子排成一圈,按1,2,...,n依次编号。然后从第1只开始数,数到第m只,把它踢出圈,从它后面再开始数,再数到第m只,在把它踢出去...,如此不停的进行下去,直到最后只剩下一只猴子为止,那只猴子就叫做大王。要求编程模拟此过程,输入m、n,.输出最后那个大王的编号。      <?php function kingVal($n,$m){ //构...
知识点总结130
chen782079048的博客
06-02 3874
php 常识总结
逻辑漏洞
cxrpty的博客
03-02 673
实验环境:php、Apache 实验原理:由于网站开发人员在建设网站的时候验证不合格,造成的bug,本次实验以任意用户重置密码为例 实验条件:修改密码时会发送修改的url到指定邮箱,并且此url长期有效。 实验危害:1.任意用户重置密码 2.提权/越权 3.任意金额购买 4.验证...
逻辑漏洞---订单金额任意修改
qq_43776408的博客
06-04 2376
什么是逻辑漏洞 逻辑漏洞目前最好方法是人工检测 订单处逻辑分析 此处疑问就是价格如何获取 获取方式是啥????? 订单逻辑漏洞 这段代码个人理解就是前面php类似于监听提交按钮 一旦提交之后,就可以读取价格和购买数目 然后运算是多少钱 很明显你可以看出,一件商品价格是100元 这个要和Burp配合使用 价格修改是在hidden中,用户看不到 你可以通过Burp抓包,然后修改 如果价格在数据库存储 你可以修改购买数量 如果是购买数量是-1 会不会商家给你返回100呢? 属实66666666666666
php比较有意思的几道
benben0729的专栏
07-24 344
1、echo '1' . print(2) + 3; 以下说法中正确的是:(1分) 123 231 6 511 答案解析: 首先计算的是 右边print(2)+3,这个你可以直接理解成print(2+3),得到的结果是5。而print是一个函数, 它的返回值总是1。 第二步就是echo '1'.print('结果')(返回值是1),因此会得到11的结果。 第三步就是将之前计算的结果进...
PHP漏洞全解
04-15 974
针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injecti...
PHP手工注入实战:揭示数据库信息与漏洞利用
"这篇文档详细介绍了PHP手工注入的实践过程,通过一个真实的示例网站——日本福岛大学的一个页面,展示了如何发现SQL注入漏洞并利用它来获取系统信息。" 在PHP开发中,SQL注入是一种常见的安全漏洞,攻击者可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值