ma4ter

熬过无人问津的日子才能拥有诗和远方.

记一次对qq小程序下单平台的测试

渗透测试 0 评 430 读

0x01 前言

原因就是我想吃辣条了 然后就去学生自己搞的小程序平台下单
闲起来了 就进行了一点简单的测试

0x02 订单查看越权

先把手机连到电脑wifi 开启burp抓包
查看订单处 BP拦截
把图中userid加一 就看到了别人买的奥里给2333

0x03 文件上传 getshell

来到头像上传处 直接把后缀改为php 上传shell上去

放包后 没有返回上传的地址 但是他会去自动访问这个上传上去的 文件 过了一会 就抓到了请求包

访问之

传统功夫 点到为止

快来做第一个评论的人吧~