某电竞小程序后台接管

前言

本次测试属于公益类型的 SRC

弱口令

小程序正常抓包，但是测了一圈下来没找到任何洞（越权有 Cookie 鉴权，支付也没啥问题）

索性搜索这个小程序的域名找找资产，还真找到几个站点

弱口令 admin/admin 直接登录进去了

第一个站点回显没有权限，应该是没用了，毕竟 Hunter 上标明了是云厂商

第二个站点成功接管