记一次任意密码重置漏洞挖掘

admin
admin
admin
102800
文章
87
评论
2024年1月22日14:53:10评论9 views字数 386阅读1分17秒阅读模式

0x00 简介

最近去学着挖洞,涨涨经验和见识。在某个站点挖到了几处任意密码重置漏洞。虽然对大佬们比较简单的漏洞
但对于我来说还是值得写下来。

0x01 挖掘过程

先尝试一下正确的验证码,看看响应包
记一次任意密码重置漏洞挖掘
ok,看响应包,应该是采用的前端验证后台响应的数据。
记一次任意密码重置漏洞挖掘
那接下来验证一下看能不能重置,随便输一下验证码
记一次任意密码重置漏洞挖掘
截一下响应包,修改响应包,将返回的数据,改为正确时返回的数据
记一次任意密码重置漏洞挖掘
记一次任意密码重置漏洞挖掘
放行
记一次任意密码重置漏洞挖掘
密码修改成功
记一次任意密码重置漏洞挖掘

0x02 总结

虽然呢,这个漏洞可能比较简单。但为了纪念我的第一次,还是决定记录下来。也算是给大家分享一下。
文章来源:https://xz.aliyun.com/t/4803文章作者:BinGdIan

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

@

 

原文始发于微信公众号(白帽子左一):记一次任意密码重置漏洞挖掘

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月22日14:53:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次任意密码重置漏洞挖掘http://cn-sec.com/archives/2406208.html

发表评论

匿名网友 填写信息