蹭个热度 羊咩咩

朋友圈刷疯了,自己试一试,首先我们要知道如何抓去小程序包,这里其实网上很多 我采用 proxifer + burpsuit

自行安装不细说了

首先我们需要找到微信小程序的所在位置

image-20220916133553086

打开proxifer配置规则

image-20220916133733738

image-20220916133749890

选择小程序,只抓取小程序的流量,其他放行,设置代理为burpsuit的代理ip

即可,此时我们可以抓到小程序的包了

在抓包的时候发现获取地图接口,是可以遍历地图的id的,由此就可以进行地图更换

image-20220916134050916

总共抓到了两个

image-20220916134124379

前面的关卡很容易

我们可以试着玩一下,玩成功了后发现这个包。

试着重放或者修改参数

image-20220916134736426

发现我的闯关数变了,由此存在逻辑漏洞

很明显后端没有对传过来的参数进行验证,我尝试修改score好像也没反应

image-20220916135953034


文章作者: penson
文章链接: https://www.penson.top
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 penson !
评论
  目录

梨花香-霜雪千年