本帖最后由 hhs 于 2022-10-13 09:40 编辑
首先,我们拿木木的小程序“.......”开刀。我们授权自一下己的账号,会发现有一个账号信息,并且标注了有一个是uid,此时我的uid是 163662。
(咱们只针对于工具进行学习哦,请勿违规)
换作平常,你可以能回去想改会员数据,也就是响应体里面的东西。这,太low了。
这里我们开始使用到网球(注意,我们主要是学习方法!!!!)。
认真学,你们看到修改之后产生的效果就会感觉到惊讶了,Query是请求参数中很重要的一部分!
打开网球---进去小程序---点击开始游戏---进入第一关
回到网球---查看数据(这里的数据其实很多,我们要学会筛选)
我们查看数据会发现一个链接。这是一个请求链接,其中依次是域名---Path---Query(path之后都是Query)
这里你也就知道为什么我们写规则的时候要把query删除掉来做的就是模糊匹配。
这个Query里面呢,有uid信息,这个数据包含的就是用户的使用次数信息,按道理,我们修改这个uid的话,用户请求到的数据就会跟着改变,并且能使用他有的特权。
(我现在只针对于木木的小程序来说)
搞来一个别人的uid,那我就用我的小号的吧,uid是164834,这时候我们来写规则。
照样,把该条数据新建到重写里面,命名好,清空 Query---添加规则
类型--- 请求
行为---修改Query参数
如图
点击保存,然后验证效果,你会发现你的数据变成了别人的数据,并且次数特权都是别人的!!!!
看图:
| 
[复制链接]
发表于 2022-10-13 09:40
|
发表于 2022-10-13 20:05
额...
