看我如何利用逻辑漏洞破解付费洗衣机 

阿城's Blog - 关注网络安全 黑客技术爱好者-阿城's Blog是一个关注网络安全,热爱黑客技术,分享各种技术教程资讯 —关注交流|web安全|漏洞发布|网络攻防|信息安全|网站建设



看我如何利用逻辑漏洞破解付费洗衣机

2018-3-25 12:16 作者:阿城 | 渗透测试 |


近期学校搬来了大量洗衣机本以为有洗衣机以后方便了许多,

打开包装一看既然还是收费的?


_848852764_qq_pic_merged_1505582506111_1505582506.jpg

 

花钱洗衣服? 

试着扫了二维码跳转到一个网页


-1524e1c42e7b981.jpg



跟着网页提示下了洗衣机的app


_848852764_qq_pic_merged_1505582506111_1505582506.jpg



慢慢尝试后发现这个app其实就是个网站镶嵌的。

于是试着用burp抓包改金额看看 最简单最暴力的了,充值抓包


QQ图片20170917014954.png


把充值金额 到账金额改了,然后右键 change request method
post转换get方式提交URL


QQ图片20170917015515.png


QQ图片20170917015705.png

Screenshot_2017-09-27-18-09-21-499_com.chenbing.uwash.png


此漏洞已经报告提交


文章作者:阿城
文章地址:http://www.ac166.cn/post-145.html
版权所有 © 转载时必须以链接形式注明作者和原始出处!

 

仅供学习与交流,遵循法律法规 & 如有侵犯您的版权请联系我删除 & 手机版

CopyRight © 2016 阿城's Blog - 关注网络安全 黑客技术爱好者.  All rights reserved.