扫码领资料

获网安教程

免费&进群

今天也是偶然，想要下载一份实习证明，在网上寻找模板，在某网站中发现有一些简洁，合适的模板，发现需要充VIP,于是抱着试一试的态度测试了一下是否有支付漏洞
1， 在word文档素材模块，随意点击下载，会跳转如下画面

2， 这个地方使用burpsuite抓包工具打开拦截，刷新页面

3，到二维码没有刷新出来的这个包中观察参数发现两个关于money的参数

全部将其修改为0.01，然后放包过去，之后还有一个支付宝的二维码也可以同样操作，全部放过去之后，停止抓包，扫码进行支付

发现生成的是0.01的支付金额，支付成功后，获得word文档终身VIP

绑定手机号之后，便可以随意下载word模板

直接给他们公司发了过去，送了一年的他们全站vip，本来要出钱的，现在白嫖一个会员也是可以的，哈哈哈！！！

声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担。所有渗透都需获取授权！

（hack视频资料及工具）

（部分展示）