首页 > 其他分享 >CmsEasy7.6支付逻辑漏洞

CmsEasy7.6支付逻辑漏洞

时间:2024-07-14 17:30:04浏览次数:21  
标签:逻辑 CmsEasy7.6 购物车 漏洞 点击 购买 支付 靶场

最近在学习支付逻辑漏洞相关的知识,利用一些测试思路来复现一下靶场,顺便做一下笔记,不过这个靶场比较老了,供新手学习练练手

靶场源码下载链接:https://ftp.cmseasy.cn/CmsEasy7.x/CmsEasy_7.6.3.2_UTF-8_20200422.zip

靶场部署自行百度,用我大学老师的一句话————要学会面向百度,要有自己学习的能力

复现过程

打开自己主页可以看到有一百块,接下来的骚操作我们买东西不仅不要花钱,对方还会倒贴钱给我,这也太香了吧(不要做违法犯罪的事情哦)

image

点击精选产品,随便点一个,进入智能家居可以看到有很多的产品,随便点击一个,那就mackbook吧(呜呜呜买不起苹果电脑= =)

image

image

点击购买,直接搞五个,抓包

image

尝试修改一下这里的参数看看会不会有什么变化,把5变成-5

image

好家伙,金额变成了负数

image

填写联系方式,选择支付方式,点击购买(这里会校验你的电话号码格式是否正确)

image

显示购买成功,返回账户那里看看余额有多少

image

余额直接由原来的100变成了4150,简直离谱,不仅要给我商品还要倒贴

image

尝试了一下使用购物车购买,在加入购物车那里抓包然后把参数改成-2即可,剩下部分和之前一样

image

总结

这里我的思路是,抓取其中购买数量的数据包,修改参数看看结果是否发生我们预期的变化,如果没有那么再去看看别的点,是否存在显示支付价格的,以及订单号之类的等等,都可以测一测

标签:逻辑,CmsEasy7.6,购物车,漏洞,点击,购买,支付,靶场
From: https://www.cnblogs.com/ylist/p/18301797

相关文章

  • 【人工智能】逻辑回归(一)
    目录一、在JupyterNotebook中新建Python运行环境,以单元格为单位运行代码,解释每行代码的含义,分析运行结果。1.测试运行代码版.ipynb1.1导入数据集1.2初始化列表1.3可视化1.4对数据进行处理1.5定义sigmoid函数1.6使用逻辑回归的损失函数1.7定义梯度下降函数g......
  • C语言 底层逻辑详细阐述指针(一)万字讲解 #指针是什么? #指针和指针类型 #指针的解引用 #
    文章目录前言序1:什么是内存?序2:地址是怎么产生的?一、指针是什么1、指针变量的创建及其意义:2、指针变量的大小二、指针的解引用 三、指针类型存在的意义四、野指针1、什么是野指针2、野指针的成因a、指针未初始化b、指针越界访问c、指针指向的空间释放3、如何......
  • 提升漏洞挖掘效率:详解RustScan端口快速扫描工具
    在漏洞挖掘过程中,梳理目标站点的资产面是至关重要的一步。这一过程通常需要进行全量端口扫描,以发现目标站点上所有可能的开放端口。然而,传统的端口扫描工具往往需要大量时间来完成这一任务,特别是在面对大量端口时。这不仅延长了整个漏洞挖掘的时间,还可能导致关键漏洞的发现......
  • Nexpose v6.6.260 for Linux & Windows - 漏洞扫描
    Nexposev6.6.260forLinux&Windows-漏洞扫描Rapid7VulnerabilityManagement,releaseJul10,2024请访问原文链接:https://sysin.org/blog/nexpose-6/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org您的本地漏洞扫描程序搜集通过实时覆盖整个网络,随......
  • 网络安全——挖掘漏洞(中间件漏洞)
    什么是漏洞挖掘?学习网络安全的同学肯定了解过漏洞挖掘,漏洞挖掘通常指的是在软件、系统、网络或任何其他类型的技术系统中寻找安全漏洞的过程。这些漏洞可能允许未经授权的访问、数据泄露、服务中断或其他形式的安全威胁。漏洞挖掘是一个网络安全专业领域。作为初学者,学习......
  • 用API实现商品sku抓取字段展示-淘宝sku区间价展示逻辑和规则分析
    有卖家问我:我的链接里面有5个sku,都是不同的价格,为什么消费者看到的不是最低价呢?这是因为淘宝平台商品价格的展示规则发生了变化,存在SKU区间价的产品,现在在搜索结果页面的曝光已经不是默认显示最低sku价了。现在平台展示逻辑主要有3点:①平台会结合着消费者的千人千面进行不......
  • 温湿度传感器的学习及基于串口和逻辑分析仪的验证
    目录温湿度传感器温湿度传感器的基本概述测量精度硬件接线时序分析接收数据分析代码全局变量配置DHT11为输出模式配置DHT11为输入模式配置初始化DHT11发送开始信号判断DHT11温湿度传感器是否应答接收一位数据接收一个字节的数据接收DHT11传输的数据串口USART1的初始化利用串口发送......
  • PyQt5学习之路一:python与QT搭配,实现UI设计与业务逻辑层分离
    一、Python安装1.下载Pythonpython官网链接如下:链接:https://www.python.org/根据图中提示选择需要的python版本,下载并安装二、QT安装1.下载QTQt官网链接如下:链接:https://www.qt.io/下载社区版QT就可以三、PyQt5的安装1.PyQt5简介python语言最为排行第一的......
  • [武器化学习] 鲸发卡系统虚拟卡系统任意文件读取漏洞poc
    !/usr/bin/envpython3importrequestsfromtermcolorimportcoloredfromtqdmimporttqdmfromconcurrent.futuresimportThreadPoolExecutor,as_completed,CancelledErrorimportosimportsignalimportsysprint('''本程序仅用于交流学习使用,任何未经授权的渗透......
  • SRC漏洞挖掘--CNVD国家信息安全漏洞共享平台
    目录0x00简介0x01过程中使用的工具0x02详细过程一、寻找挖洞目标1.1工具介绍1.2目标检索过程二、趁手的挖洞工具2.1工具介绍2.2工具下载链接2.3工具使用三、挖洞时间四、漏洞验证五、提交漏洞0x03注意事项0x00简介SRC漏洞平台:安全应急响应中心......