在2022年某月,在一个群中某班长发了一份 CTF 的数据流量包
发现了 x度网盘的数据包
通过数据包获取到x度盘的登录信息
把数据包放到我的挖洞神奇 Burp中,重放数据
显示成功 再把数据包放到浏览器重放
放到浏览器前提 要把自己的缓存、cookie 清除掉。
防止以前登录的信息还在
好了,成功登录到该用户的X盘
等一会 等资源加载完毕
显示已经登录的账户
去掉代理,采用正常网络访问
点击 个人资料
个人资料可以访问
来继续看看大佬的漏洞操作
访问 SRC
还能看到他对应的团队的队员信息
这里我怕挨打我就不放图了
基本上这个账户能访问的应用就都能够访问了
最后
这个漏洞我4月份已经提交了。
最后的最后想说的是,挖漏洞追求细心操作,多学习,就有了。
洛米维熊洛米维熊洛米维熊洛米维熊洛米维熊洛米维熊
不像我依旧什么也不会
洛米维熊洛米维熊洛米维熊洛米维熊洛米维熊洛米维熊
扫描二维码获取
更多精彩
洛米唯熊
原文始发于微信公众号(洛米唯熊):拣到一个20金币的x度漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论