获网安教程
免费&进群
本文由掌控安全学院-山屿云投稿
1、前言
TP框架有一个日志泄露的漏洞,如果我们能够快速的提取日志中的敏感数据,那么就能造成意想不到的危害
2、开始
开始一个url,然后给我们的是一些数据,我们要快速定位里面的敏感信息,就可以搜username,name,password,pass,admin等敏感字符串
这里通过搜password
找到一些账号名和密码,但是很少,那么能不能遍历日志,从里面再提取呢?
这里使用burp批量去跑就可以了,爆破月和日,得到大量的日志
那么再写一个python脚本,提取里面的账号密码就可以
密码都是默认的,手机号后六位
接着去登录
泄露手机号和身份证
通过抓包发现,有一个鉴权的值
再通过脚本去提取这个值,接着遍历
2、后续
后续就没有了,我们打攻防平时就拿两个分,权限分和数据发,像这种没过百万的有效数据,分很少的。
后续把记录都删了,做一个守法公民,毕竟是正规攻防,稍不注意就可能被抓走
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+交流群+靶场账号哦
分享后扫码加我!
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
点赞+在看支持一下吧~感谢看官老爷~
你的点赞是我更新的动力
原文始发于微信公众号(掌控安全EDU):记一次tp日志泄露到上万用户信息泄露
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论