拣到一个20金币的x度漏洞

admin 2022年8月25日10:25:26安全文章评论21 views411字阅读1分22秒阅读模式

在2022年某月,在一个群中某班长发了一份 CTF 的数据流量包


发现了 x度网盘的数据包

拣到一个20金币的x度漏洞

通过数据包获取到x度盘的登录信息


拣到一个20金币的x度漏洞


把数据包放到我的挖洞神奇 Burp中,重放数据


拣到一个20金币的x度漏洞

显示成功 再把数据包放到浏览器重放

拣到一个20金币的x度漏洞

拣到一个20金币的x度漏洞


放到浏览器前提 要把自己的缓存cookie 清除掉

防止以前登录的信息还在


拣到一个20金币的x度漏洞


好了,成功登录到该用户的X盘


拣到一个20金币的x度漏洞



等一会 等资源加载完毕


拣到一个20金币的x度漏洞


显示已经登录的账户

去掉代理,采用正常网络访问

 

点击 个人资料


拣到一个20金币的x度漏洞


个人资料可以访问


来继续看看大佬的漏洞操作


访问 SRC


拣到一个20金币的x度漏洞


拣到一个20金币的x度漏洞

还能看到他对应的团队的队员信息

这里我怕挨打我就不放图了


基本上这个账户能访问的应用就都能够访问了


最后


这个漏洞我4月份已经提交了。

拣到一个20金币的x度漏洞


最后的最后想说的是,挖漏洞追求细心操作,多学习,就有了。

米维熊洛米维熊洛米维熊洛米维熊洛米维熊洛米维熊


不像我依旧什么也不会

洛米维熊洛米维熊洛米维熊洛米维熊洛米维熊洛米维熊




拣到一个20金币的x度漏洞
拣到一个20金币的x度漏洞

扫描二维码获取

更多精彩

拣到一个20金币的x度漏洞

洛米唯熊


原文始发于微信公众号(洛米唯熊):拣到一个20金币的x度漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月25日10:25:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  拣到一个20金币的x度漏洞 http://cn-sec.com/archives/1253136.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: