logo

Shellblock

抓包修改今日校园请假信息

2021-11-02 Views 今日校园 | 抓包413字2 min read

在食用本教程前请确保你拥有以下设备

IOS端由于众所周知的原因无法使用

1. 打开今日校园进入请假页面

使用Fiddler(PC端)或HttpCanary(安卓端)抓包查看今日校园向服务器的请求数据和服务器的返回数据。

2.请假记录页面修改

查看发现今日校园通过下面的请求链接,服务器返回了所有的请假列表,内容为json格式。

https://xxx.campusphere.net/wec-counselor-leave-apps/leave/stu/list

(xxx为学校缩写,每个学校链接不一样)

其中返回值status,actStatus,这两个参数是控制请假状态的。
两个参数对应数字一览:

4 5 6
已经完成 即将休假 正在休假

3.请假详情页面修改

继续抓包分析,可以看到返回具体请假信息的包URL为:

https://xxx.campusphere.net/wec-counselor-leave-apps/leave/stu/detail

这个请求网址下返回的是具体请假信息,
可以通过修改返回值里面的recordStatus的参数值修改请假状态。
参数对应数字一览:

5 6 7 8
即将休假 正在休假 销假逾期 已经销假

注意

HttpCanary静态注入有两个缺点:

  1. 用户打开哪个请假记录都显示同一个;
  2. 如果有审批请假和不用审批两个列表的话,两个显示的都一样。
    这两个缺点都是基于HttpCanary的静态注入只能分辨url不能区分传递参数,静态注入也不能更改请求路径。

Fiddler无以上问题。

EOF