萌新记录一个网站的支付漏洞，修改用户/XSS和后台万能密码登录

登录网站需要注册，可以使用临时邮箱注册

打开个人中心，发现可以升级成网站的VIP 通过BURP抓包，点击微信支付

发现显示支付的钱数和ID
我们把199修改为0,1元再放包

一直放包出现微信二维码，用手机扫描一下发现199元的会员修改为0,1元了

还能通过修改ID，可以修改其他账户的资料

把我的227318修改为2278再放包 发现是VIP用户

可以修改个人资料，那是不是我下载VIP的资料是不是只需要把ID改为会员的ID就可下载VIP的东西

这个网站的学习问答页面还有存储性XSS
这里输入XSS语句提交会弹窗，之前已经试过了 直接上攻击代码

登录XSS平台，生成攻击代码

复制到留言框页面

提交问题之后，留言变为空白，（前面已经提交过了，这是提交之后的截图，留言的页面是空白的）

后面有人访问这个页面，可以看到我打的XSS语句，就可以获得他的cookie了
看下XSS平台打到的cookie

发现这个网站基本没有防护，再找下这个网站的后台登录界面
输入robots.txt发现有路径爆出

看下admin路径有什么

看到后台登录界面，使用万能密码登录下

发现直接登录后台，可以看到消费记录
这个网页比较老吧，还有sql注入，就没写了