设为首页|收藏本站|
发帖
登录 注册
西兔生活网 华人生活 移民签证 漏洞挖掘之捣毁某情色用品APP(文末福利) ...
回复 发帖
返回列表 发新帖
开启左侧

[问答] 漏洞挖掘之捣毁某情色用品APP(文末福利)

[复制链接]
53460 0
鲤鱼旗PIAO 发表于 2021-1-12 08:16:00 | 只看该作者 打印 上一主题 下一主题
 
●前言:本文纯属技术分享,禁止利用漏洞非法获利;如有侵犯权益,请及时联系。
●漏洞已经提交至漏洞盒子平台,修复之后我才分享出来的,各位请不要去尝试获取用户信息
0x01
这是情色用品的官方网站,但是无法注册,只能登陆。这尼玛不是坑爹吗?硬要下载你的APP?好吧= = ,没办法,先忍你一会,该死的开发


漏洞挖掘之捣毁某情色用品APP(文末福利) 第1张图片
0x02
于是乎,下载了这个APP。APP漏洞无非就是那么几个。Example:越权,SQL注入,任意用户密码重置,订单遍历,用户信息遍历.....==    既然如此,那么我就挖着几个漏洞。
不管什么漏洞,我都得映衬这个文章的标题——“捣毁”,没错。 虽说SQL注入能脱裤,但是数据全都放在一个表里,你去找? By The Way, 试了这个APP,并没有SQL注入,暂且不提
0x03
首先使用虚拟手机号码注册了一个用户,随便填写了几条信息(PS:无论挖什么漏洞,每次注册成功之后我都会随便填几个身份信息,以便于之后的挖掘当中找到对应的参数)
0x04
        注册成功之后,点击个人中心那里进行抓包(burp suite即可 这里就不用教大家怎么配置了吧,不会的可以留言下方) ,看到了有一个 userid 参数,很明显这就是我自己的账户ID,于是我把数据包放到 Repeater当中,进行发包,出现了我自己的个人信息(前面提到的我填写个人信息快速的帮我确认了这是我自己的个人信息),看到这里我都会尝试一下能不能通过修改 userid 参数获取别人的信息,于是,修改了我ID最后一位数字,看能不能有数据回显,如下图:
漏洞挖掘之捣毁某情色用品APP(文末福利) 第2张图片

0x05
很明显的看到已经成功获取了别人的数据,那么 一个一个的去修改userid不浪费时间吗? 操起burp 开启我的fuzz大法  (by the way. burp可以进行脱裤)
漏洞挖掘之捣毁某情色用品APP(文末福利) 第3张图片


把数据包放到 Intruder  :   Payload 无穷大  标记useriid参数为变体

Attack  :Result  看得我肾慌 == , 用户名 相册 手机号码(没打码,想约的去约吧) 还有各种挑逗让我难以把控的甜言蜜语 ,我实在是受不了这些充满挑逗性的XX句子   NExt.....
漏洞挖掘之捣毁某情色用品APP(文末福利) 第4张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第5张图片


#### 这几位是老司机 上吧 骚年们
漏洞挖掘之捣毁某情色用品APP(文末福利) 第6张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第7张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第8张图片
###  这个妹子是我的, 鄙视你们
漏洞挖掘之捣毁某情色用品APP(文末福利) 第9张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第10张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第11张图片


0x06
      ~~~~ 送上福利
漏洞挖掘之捣毁某情色用品APP(文末福利) 第12张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第13张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第14张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第15张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第16张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第17张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第18张图片

漏洞挖掘之捣毁某情色用品APP(文末福利) 第19张图片

PS:原本早就编辑好了文章,但是因为手残,直接复制图片——粘贴,然而图片并没有保存,我很是伤心   我可编辑了三遍啊。。。大家体谅体谅我吧 QAQ

【W3bSafe团队】
知乎专栏:https://zhuanlan.zhihu.com/waf-x
漏洞盒子:漏洞盒子 | 互联网安全测试平台
      官方:www.w3bsafe.cn


上一篇:我的理想,这是一篇私人文章,看不看都随意(看的都会收到福利)
下一篇:2021年留学申请规划-快来选定你的留学计划
标签:官方网站技术分享无法注册漏洞挖掘官方
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报

关联主题
回复

使用道具 举报

 
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

鲤鱼旗PIAO白金会员

0关注

5粉丝

442帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-5-21 19:54