艰难⼜侥幸的1洞变4洞

前期信息收集 发现该商城有3个不同端服务 分别是web ⼩程序 app

那么很有可能存在漏洞,常规的⼿法测试完后,没有发现任何漏洞。

技术太菜了,只能花钱买个商品测试它的整个流程有没有漏洞了。

本来只想测⼀下评论区 并发评论漏洞 结果有意外发现

每进⾏⼀次评论都会 赠送200积分,这200积分可以抵扣现⾦,不过最⾼为商品价格的%5,相当于100

积分=1rmb

直接不停的重放评论包 就可以实现⽆限刷取积分 最后也是侥幸获得了400赏⾦

遇到评论区 ⾃然少不了XSS。尝试输⼊<p>123</p>

发现APP端并没有解析,⼩程序端也没有解析，侥幸的是web端解析了

于是输⼊<img src=1 onerror=alert(2)> 结果返回403

有waf 试试看能不能绕过

<img src=1 onerror=(2)> 不拦截

1<img src=1 onerror=aler(2)> 不拦截 看起来是过滤了alert?

太菜了 不想绕了 于是随便输⼊⼀个payload

<img src=1 onerror=(alert)(2)> 也是侥幸绕过waf 成功弹窗

然⽽后台有⼀个评论筛选机制 只有经过筛选后的评论才能被其它⽤户看到。到这我就放弃了 当时

猜想后台的筛选机制肯定会过滤这些字符的。

但还是提交了 漏洞报告。

结果审核让我证明不是self-xss,没法只能继续尝试了。

通过观察其它⽤户在评论区的评论

发现只有好评没有差评,猜想会不会没做任何过滤,只要刷好评就可以了？

于是在评论的地⽅输⼊ 商品很棒,推荐给⼤家,很满意。⼤家快来买啊<img src=1 onerror=(alert)

(2)>

过⼏天再去评论区看 发现其它⽤户能看到我发送的评论了 但是标签不解析了

好家伙让我证明 结果修复了。

最后艰难battle 获得了400赏⾦

当时感觉这个地⽅应该还有漏洞 看评论包体

order_i_id=oid=xxxx&bn=xxx&sn=xx&order_id=xxx&rating=5&content=

经过测试 影响评论能否成功发送的参数是order_i_id=oid=123&order_id=123

它们都传的是订单编号 那么我们能不能直接获取订单编号

绕过付款收货流程 直接进⾏评论呢？

正常的流程是：

根据⽤户提交的商品信息⽣成订单——⽤户进⾏⽀付——进⼊发货状态——⽤户确认收货——⽤户

进⾏商品评价——后台发送积分

2漏洞的流程是:

根据⽤户提交的商品信息⽣成订单——利⽤订单号,⽤户进⾏商品评价——后台发送积分

提交商品信息后⽣成订单 返回⼀个订单号999 将订单号 填⼊其中 成功评论 获取到了积分

order_i_id=oid=999&order_id=999&rating=5&content=111

提交漏洞报告后 很快啊 审核忽略了我的漏洞。

最后也是艰难battle 获得了400赏⾦

其实这⾥还有个积分刷取漏洞 尝试提交⼀个漏洞后 说是不再收取了

感觉这⾥应该还有漏洞 以防万⼀ 先问⼀下再测。

翻看之前保存的数据包发现⼀个有意思的参数

sp=xxxx 正好对应商品的型号 ⽽且商品型号会在前端显示出来 既然content输⼊的值被过滤了

3那么sp输⼊的值会被过滤吗？轻轻的插⼊<img src=1 onerror=(alert)(1)>

最后也是成功插⼊ 触发了弹窗

最后经过⼀番沟通也是喜提中危