闲来无事,网络上寻找目标。想起来前几天挖了一个某学校的洞,上次信息收集没做完,打完就收工了。所以我又回到该学校(很亲切),我想到主站可能没有什么漏洞了,准备去找找子站的时候,突然发现一个链接某某后台,我的发,我一眼就相中了它,有一种漏洞的美。
对于这种登录框,自然是常见的弱口令,万能密码,注一下,在全部都无果的情况下,来了个F12大法。刚打开就出大货了,这就写在脸上。
于是乎我带着一丝小兴奋输入了它,哎呦果然改密码了。
但是不着急我们继续往下看,一往下翻不得了,这个逻辑太炸裂,账号密码直接写这个。前几天看一个师傅的文章我还说,怎么可能遇到这种,好了这下打脸了。不说了,赶紧整一下子吧。
开发是懂的,直接登陆成功了。
第一次挖到这种很离谱的漏洞,所以记录下来了。虽然我觉得这种逻辑问题不会太多,但是每次查看下源代码可能会有意想不到的收获,挖洞靠的主要还是细心和耐心吧。
原文始发于微信公众号(shadowsec):记一次离谱的edu挖掘
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论