意想不到的管理员账号密码重置

admin 2023年8月31日12:05:47评论4 views字数 358阅读1分11秒阅读模式
之前遇到过一个渗透站点,重置密码的地方采用密保的形式(这个好像不少站点都有采用,包括阿里邮箱,之前就通过这个功能重置了对方账号密码),好了,话不多说,老规矩,直接上图。

意想不到的管理员账号密码重置

点击忘记密码功能,这里系统账号可以遍历获取,我这里就直接省去这步操作了,直接输入系统存在的用户名,如下。

意想不到的管理员账号密码重置

点击下一步,到了今天要讲的问题关键点,输入密保答案从而直接进入重置密码页面,虽然是正常的功能,但是在很多时候很容易导致账号被他人重置,比如密保答案过于简单,密保问题存在提示等。
这里密保问题就是一串数字,密保答案就是数字的反序,很简单吧,很多时候就是这么简单。

意想不到的管理员账号密码重置

输入正确的密保答案后,点击下一步,成功进入修改密码处,如下。

意想不到的管理员账号密码重置

直接修改账户密码,然后使用修改后的密码成功登录系统。

意想不到的管理员账号密码重置

打完收工。

 

原文始发于微信公众号(安全无界):意想不到的管理员账号密码重置

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月31日12:05:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   意想不到的管理员账号密码重置https://cn-sec.com/archives/1998257.html

发表评论

匿名网友 填写信息