闲来无事,网络上寻找目标。想起来前几天挖了一个某学校的洞,上次信息收集没做完,打完就收工了。所以我又回到该学校(很亲切),我想到主站可能没有什么漏洞了,准备去找找子站的时候,突然发现一个链接某某后台,我的发,我一眼就相中了它,有一种漏洞的美。
对于这种登录框,自然是常见的弱口令,万能密码,注一下,在全部都无果的情况下,来了个F12大法。刚打开就出大货了,这就写在脸上。
于是乎我带着一丝小兴奋输入了它,哎呦果然改密码了。
但是不着急我们继续往下看,一往下翻不得了,这个逻辑太炸裂,账号密码直接写这个。前几天看一个师傅的文章我还说,怎么可能遇到这种,好了这下打脸了。不说了,赶紧整一下子吧。
开发是懂的,直接登陆成功了。
第一次挖到这种很离谱的漏洞,所以记录下来了。虽然我觉得这种逻辑问题不会太多,但是每次查看下源代码可能会有意想不到的收获,挖洞靠的主要还是细心和耐心吧。
原文始发于微信公众号(shadowsec):记一次离谱的edu挖掘
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论