某护网中的小程序渗透

文章预览

作者：先知社区（1576379985740222）， 来源： https://xz.aliyun.com/t/15261，如侵权请联系stonefor345，将立即删除。 这次项目为某攻防演练的供应链厂商的小程序，中间遇见了很多思路是网上已经出现过的相信大家细心挖也一定能出货。 进入某微网厅 进入以后进行功能点测试 当前为未登录状态进入户号查询 查询过程中进行抓包查看，看到id就想遍历必须尝试一下 但是这里有一点是以前没有遇到过的就遍历的过程中添加数字返回的全为空，而且这四个点进行修改返回也是空，测试了非常久灵机一动，将四个点全部设置为空 一发包。不就出了嘛（有一个坑点就是这个返回的过程非常的慢 需要耐心等一下）一下出了两万多条这不是框框上分。 这个目录/index/selectUserCustmoer可以遍历，这个必须使用我的字典fuzz一下跑一下其他的目录能否继续遍历，果然成功了跑 ………………………………