未授权访问还可以这样玩

  • A+
所属分类:安全文章

一.背景  

     群里的师傅都说没有技巧学习,都开始摸鱼了,这样可不好,这里还是告诉师傅们,别人在摸鱼的时候你在摸鱼,别人在学习的时候你还在摸鱼这就不好了。开个小玩笑啦,废话不多,继续来更新挖洞小技巧。让你告别没有证书的通

二.过程 

fofa资产16个 公司注册资金有8000W 妥妥的证书啊。此资产不止一个证书 多处未授权外加弱口令

未授权访问还可以这样玩

.思路

老规矩 界面如下  yyds进去试试 (弱口令)

未授权访问还可以这样玩

未授权访问还可以这样玩

    这里找十个弱口令吧,一个证书验证完成,到这里就结束了?不不不 根据以往的测试过程,还需要做做未授权访问,看看怎么操作。

    先另一个站点,用已经登录的一些位置,直接输入到未登录的位置尝试未授权访问 就拿这个位置来做实验

未授权访问还可以这样玩

直接访问,报错看起来好像要放弃了

未授权访问还可以这样玩

     如果真这样的话 就直接放弃吧,但是我记得有篇文章讲过,有些开发,验证做的不严谨,有可能只验证了账户 也有可能只验证了密码的一位字符,这些都有过,那么我们接下来尝试骚操作,任意输入账号密码,提示密码错误

没关系不管他,我们继续访问后台的某位置地址


未授权访问还可以这样玩

可以看出这次进去了

未授权访问还可以这样玩

    用这个方式可以找到好几处未授权,漏洞已经提交且已经出证书(5个),各位不要去测试了,也不要耍小聪明去搜图片之类的,我一直认为授人以鱼不如授人以渔。马赛克打的再厚也不及各位师傅的聪明才智,其实我只是想告诉大家方式与方法而已。别老是举报我,多没劲啊,看看深夜多久没更新了,就知道原因了,我一不割韭菜,而不收徒授课,纯粹的技术交流与分享,咋就老举报我呢?搞得我彻底停更了,又有啥意思呢?且行且珍惜啊。同时也感谢一直以来支持我跟帮助我的师傅们,真心感谢大家分享思路与技巧特别感谢。不一一点名了群里的师傅们都算上。

     为各位师傅提供讨论的地方,一群已经满了 有兴趣的师傅可以加入二群大家一起讨论学习,老规矩公众号回复加群 即可加入。

 

特别声明:

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,我不为此承担任何责任。


作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者的允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。 切勿用于非法,仅供学习参考


我不会渗透,我们下次再见! 


原文始发于微信公众号(南街老友):未授权访问还可以这样玩

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: