奇安信攻防社区-一次信息泄露到越权支付的实战

一次信息泄露到越权支付的实战

一次运气很好的越权漏洞实战挖掘

前言
==

这是一次小程序的漏洞挖掘，漏洞在测试期间已上报

思路
==

访问排行榜  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-11a698680a1e2a3919202bc0a232548c7987c592.png)

从数据包中可以看到openid泄露，这里其实泄露了很多openid，为了方便只截了一个，接下来配合积分兑换越权使用他人账户兑换物品  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-0c44a0b0a8409b163e5b2ea3a682448151b99042.png)

Burpsuite中设置，将请求中原有的我的openid替换为排行榜中的第一名的openid  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-c6bc87603d6b37e755680f115ba3ca1ebd3879db.png)  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-fc77b082ad6f90f4d180b5790f8887d458b315f3.png)  
out2\*\*\*\*\*\*  
进行礼物兑换,换个可乐勋章  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-3ed87e7811fa6af3e0d359ee21e9e00596f2c980.png)

可以看到地址信息是空的，没有地址无法购买，而添加地址进行的认证是使用的OpenSession进行验证，无法越权上传地址，所以只能通过欺骗前端绕过填写地址，经过数据包读取，发现是生成订单时返回的地址信息addressInfo为空，  
则可以通过修改订单的响应数据包，将创建订单时返回的地址数据替换为我们的地址数据  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-c62ee434ddf7410cc4ae437e533fe3adb579cb34.png)

可以看到目前的请求数据包中的openid和响应中的addressinfo都被替换为了我们的  
原数据包：  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-2032efac19cfc97c104f2914972935052a2343fa.png)  
替换后的数据包：  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-976f76ae9b47c8a455f915f52e7f0242673302f7.png)  
得到响应  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-7dbb9f616e7502653f2c197cd8abe63cbc99cb3b.png)  
直接兑换成功，实现越权使用他人积分购买商品  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-e7919706cb70e450a39d230e962403be98b78b89.png)

可以看到我本人是没有奖品兑换记录和积分的，无法购买到该商品，所有的积分扣除计算都来自于其他用户  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-6ebb5d6ea33a82b0a38bc7b26f8f678657a2d6be.png)  
![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/01/attach-dc42ca232a43f193106ba07a0f503d8ab1f12c28.png)