Redian新闻
>
“0元购”支付逻辑漏洞的意外发现

“0元购”支付逻辑漏洞的意外发现

科技
项目


在某授权项目中对多个app进行漏洞挖掘的一次过程中,发现某一款app软件中可通过打卡的方式进行积分累积,累积后的积分可通过换购的方式在积分商城进行商品换购。随手对打卡获得积分的功能和购物的功能进行了任意的尝试,单当时并未发现漏洞的存在,在对购物功能初测时返回包报错如下:

看到异常后就没有再进行测试,当时认为系统都进行报错了,订单应该不能有问题。直到我隔日打开自己的手机发现我的快递软件无缘多出两个新的快递时。在我还在为快递疑问时我想到了昨日重放的两次返回空指针异常的订单数据包。

于是继续测试app进行漏洞的复现。

具体挖掘的过程如下:

下载安装包后发现该app做了简单的防护无法直接通过burp代理进行抓包,直接上Xposed+JustTrustMe。我使用的测试环境为HUAWEI nova 3,现在的手机能够开启root安装Xposed非常麻烦,几乎都进行了相关的限制,这里推荐一个virtualXposed工具,使用还是比较方便的,对于小白来说免去了环境的配置相关root解锁的过程就可以实现相应的功能。

在virtualXposed中安装运行app,然后进行注册登录,登录后在“我的”可看到积分商城功能。

应用的功能为通过签到或其他任务赚取积分,然后使用积分进行兑换或者使用微信支付宝充值获取积分,积分商城使用积分进行购物。

首先打开积分商城选择想要购买(baipiao)的商品进行查看,然后点击下方的立即兑换(lijibaipiao),弹出兑换数量,继续点击立即兑换(lijibaipiao)。

在弹出的创建订单界面填写收获地址收获信息,然后开启burp拦截数据包,点击“提价订单”拦截数据。

然后我们将num参数修改为0如下进行放包。该数据包放包后返回包会提示空指针异常。这时应用进入支付页面提示我们支付积分,支付数量为0。

支付时有概率发生支付异常,在我的订单页面可查看到订单,点击付款(bapiao)进行付款。

这时候我们会看到

然后过段时间会发现

然后我们只需要静静的等待。

本次漏洞挖掘均在授权下进行测试,漏洞详情已报告形式提交给开发者,漏洞已完全修复

往期推荐

敏感信息泄露

潮影在线免杀平台上线了

自动化渗透测试工具开发实践

【红蓝对抗】利用CS进行内网横向

一个Go版(更强大)的TideFinger

SRC资产导航监测平台Tsrc上线了

新潮信息-Tide安全团队2022年度总结

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......


星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享


星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......


星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
过年烧纸,意外发现一个阴间的秘密主动归还中国流失土地,却意外发现了金库,我国做法赢得世界尊重老人摔了一跤,竟意外发现嵌入70多年的弹片…最高$20,000!OpenAI 将向报告ChatGPT漏洞的用户,发钱啦!我打碎了朝阳DNA别乱测!美国女子觉得好玩却意外发现爷爷"藏45年秘密"害奶奶变小三做完DNA检测突然接到警察电话,美国女子意外发现"被卷进37年前谋杀案"吓坏脸书意外发现“老爸和大嫂外遇”,女子看偷情对话傻眼:我妈怎么办狗血!手贱测DNA意外发现父戴绿帽19年,母乱伦!震撼身世毁全家!澳洲小伙意外发现ATM机取钱漏洞,成百万富翁!然而几个月后,他受不了了...消费电子出海,别跳进安全漏洞的大坑男子捐肾给结婚6年爱妻,检测意外发现"2人是兄妹"崩溃:生了2孩小伙意外发现ATM取钱漏洞,成百万富翁!5个月后他崩溃了BK华男玩命送餐差点被黑人打死! | 因3人8大道登上邮报!网友意外发现天眼夫妇结婚6年育2子…妻一场重病 意外发现老公是亲哥哥看了他的画,才发现脑洞的重要性0元购向LV出手!猜美国为什么这么多0元购?有这两点原因男子捐肾给结婚6年爱妻,配型时却意外发现两人是兄妹?!他超崩溃:已生2娃……高危漏洞预警 | 车联网开源组件命令执行漏洞被监测出家中鹦鹉忽然学会露骨情话,竟让妻子意外发现丈夫出轨.....​以性别为由拒聘妇女最高可罚5万;华裔女孩被锁地牢强迫奴役十余年;男子路边解手意外发现被困37小时老人......|酷玩日爆[离谱]慷他人之慨?网红意外发现自己的行李被加航捐给了慈善机构2022南美南极行(9)巴西 里约热内卢4岁幼童遭遇车祸,却意外发现腹内有“致命隐患”!主人下雪天带狗子出门,意外发现…这货有强迫症吧!?曝光!澳洲移民局漏洞百出,大批留学生利用签证漏洞,靠这种手段拿PR,从大学跑路...从小被祖父母养大女DNA检测找生父意外发现母被性侵真相历史人物李奇微云边踯躅(洒金扇面)小伙意外发现ATM机取钱漏洞,成百万富翁!5个月后,他受不了了...硬核观察 #960 某个在应用中利用零日漏洞的团队已被解散特斯拉疯狂降价后,老车主组团“0元购”搬空4S店?重磅|北美华人大别墅惨遭“0元购”!全世界偷家者都爱侵占华人住宅?一次有趣的意外发现,是如何终结盗版采样的?铃兰大夫火了,俺跟铃兰大夫说外内
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。