知识梳理
1. 修改支付状态
比如:购买A商品,支付时,bp抓包,观察包中是否有字段a来表明A商品是否被支付,a=1时,代表支付成功,a=2时,支付不成功,此时我们就可以修改a=1;
2. 修改支付价格
购买商品到支付有三个步骤,订购->确认信息->付款,这三个步骤我们都可以抓包修改商品价格,看是否能成功,若是不成功,我们可以尝试修改运费价格,将运费价格修改为负,以此来抵消商品价格;
3. 修改支付接口
像微信支付,支付宝支付这样的就是支付接口,不同接口值是不同的,如果设计不当,没有对支付接口不存在这一情况做处理,有可能会支付成功;
4. 修改支付id值
额,假设:a商品价格是50元,id=1,b为200元,id=2,那么我们可以将b的id换成a的,也可以修改a的金额为-50,然后a和b一起提交,看总金额是否是150
靶场地址
http://59.63.200.79:8010/zf/upload/
-
创建普通账号
image
-
修改物品数量为负
image
image
-
支付成功,在线充值页面出现flag
image
