又找到个网站挖洞,我来康康。
大米手机是个什么鬼手机??看一下吧
这个支付页面好熟悉,可能存在支付逻辑漏洞,咱们用burp改个包看看。
先支付一个看看
把包里那个=1改成0试试~
证实确实存在支付逻辑漏洞
前面应该只是一个小插曲,这里的任务是爆破管理员后台。我尝试/admin登陆,发现没有这个地址。
然后我就拿御剑浅浅扫一下吧。
御剑扫不出来,这个是看别人的地址摸索出来的
然后就用burp尝试爆破一下吧
在账户和密码添加爆破模块,验证码好像不变,就不用更改
然后看结果有俩结果和其他的好像不一样啊
试一下,账号密码zkaq卧槽
这就进来了…….
标签:逻辑,爆破,漏洞,支付,后台,大米,cms From: https://www.cnblogs.com/fugodd-hacker/p/16840819.html