edu小程序挖掘严重支付逻辑漏洞

一、敏感信息泄露

打开购电小程序

这里需要输入姓名和学号，直接搜索引擎搜索即可得到，这就不用多说了，但是这里的手机号可以任意输入，只要用户没有绑定手机号这里我们输入自己的手机号抓包直接进去在进入的过程中发现一个很有意思的包

前端js中竟然泄露了debug模式的密码，当时试了一下确实登录进了debug模式，但是忘截图了，这妥妥一枚中危敏感信息泄露了

继续挖掘

登录过程中发现这个数据包

通过roleid和type来鉴权，一开始的roleid为4，type为学生端，我们直接修改为6到教师端

成功返回教师端的功能，我们直接修改后续返回包即可登录教师端，但是这里之后点击的每一个包都需要修改数据包，有点麻烦

从下图数据包中可以看到通过getPersonInfo功能点的accountNo参数可以获取学生的敏感数据包括代表个人身份的PersonUUID和UserId和手机号，WxopenId和账号密码等敏感信息

既然这样直接遍历accountNo参数就可以获取全校学生的敏感数据了

又找到个查询一卡通信息的接口

同样可以遍历获取全校学生一卡通账号和余额信息，虽然危害不大，但也是一枚越权导致的敏感信息泄露

继续测试，发现一接口，需要配合第一个数据包获取的PersonUUID使用

虽然我获取的用户没有填这些信息，但是这个功能点的泄露可以看出危害多大，具详细的敏感信息，只要配合第一个遍历获取到的PersonUUID和accountNo配合遍历即可获取全校学生信息，一枚高危到手最后上正文

登录进来后点击电费充值

选好需要充值的宿舍之后电脑开始抓包，点击充值抓到如下数据包

发现这个包为校验包，用来校验订单金额，改了这个包后续就做不了事了，直接放掉得到下一个包

这个包就是调用微信支付api进行订单支付的数据包了，直接修改totalfee参数即可

这里还存在一个知识点，就是调用支付只能手机上支付，电脑无法进行支付，所以我们需要抓取手机上的包才能进行后续操作

这里教大家一个简单的方法，让你的好朋友给你开个热点，然后你电脑连上他的热点，查看获取到的ip，然后在burp里添加获取的ip进行代理，端口随意

然后在手机上也连上热点，然后给手机添加代理

填写刚刚添加的ip和端口保存即可抓取手机数据包了

最后也是一分钱支付，到账一开始充值的五块钱，也就是说可以一分钱到账任意数额的电费漏洞危害大，利用难度低，直接给了个严重。