支付漏洞之0元购买网校课程

释放双眼,带上耳机,听听看~!

请认真阅读以上法律规定

否则这就是下场



0x00

小编的工作,虽然是双休,但没车没房没对象又没钱的我,哪敢休息啊。自己的技术有多菜只有我自己知道。我想成为大神,怎么办,只能在周末没日没夜的学习了,苦练技术。

0x01

这不,看到了某网校的课程,想学但没钱买会员,打开电脑就是干..

注册账号 -> 购买会员:

购买3年的会员,开启浏览器代理,拦截数据包:

放行数据:

提交订单,很明显,支付宝不支持这么大的支付钱数。( 支付宝最多支持1亿的二维码付款,不要问我是怎么知道的,我买过售价是1亿的东西)

继续支付:

0x02

退回,继续测试

放行数据包,奇迹再次发生:

提示“服务器错误”,此时应付款变为了 inf.NF,这是什么原理呢?

据小编猜测,购买的年数特别大, 做过开发的都知道,数据超过了该数据类型的最大值,最终数据也就变成 了最小的一个数字。至于这里为什么变成了一些字母,小编我也是百思不得解。结果只能用奇葩来形容。

继续提交订单,发现网页直接返回“订单支付完成”,跳过付款二维码,可能是二维码也想不通,这是哪个 XX  提交了一个金额是 inf.NF 的购物,你这让我怎么生成二维码。

动态图展示

购买成功。账号信息里显示会员到时时间是2106年:

订单详情:

接下来,小编又可以在周末愉快的学习了…

0x03

结束语:此网校系统是某cms通用漏洞,小编已将漏洞上报相关公司(奖励了吃一顿小龙虾的钱)。各位看官也不要去尝试在真实环境中去利用哦,会被请去喝茶的。


关注我,带你了解更多

//原创文章,禁止转载

本文源自微信公众号:黑客信徒

人已赞赏
安全工具

分析分析中国人喜欢用的密码

2019-10-21 14:54:36

安全工具

iPhone最新版系统iOS12.4越狱

2019-10-21 14:54:43

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索