文章目录
前言资产探测漏洞一:漏洞二:总结:声明:
*用到的工具:1、burp suite;2、fiddle*
# 一、打开公司官网
# 二、进入XX管理系统
## 漏洞一:信息泄露
1、通过前端接口拼接发现信息泄露,包括姓名和手机号等信息
## 漏洞二:密码重置
1、在忘记密码处根据上述信息泄露收集的手机号,对其中一个手机号进行密码修改,获取手机验证码后,任意输入手机验证码,进行抓包
2、修改响应包参数success为true
3、放包后跳至重置密码页面
4、输入密码abxxxx34,继续将响应包参数success修改为true
5、放包后显示密码修改成功
# 三、进入某员工xx管理系统后台
1、回到登录页面,输入新改好的密码进行登录
2、成功登录到账号为139xxxxxx12的员工后台
3、可提现该账户的余额
声明:笔者初衷用于分享与普及网络安全知识,若读者因此作出任何危害网络安全行为后果自负。
本文作者:AlbertJay, 转载请注明来自FreeBuf.COM
【Hacking黑白红】,一线渗透攻防实战交流公众号
回复“电子书”获取web渗透、CTF电子书:
回复“视频教程”获取渗透测试视频教程;
回复“内网书籍”获取内网学习书籍;
回复“CTF工具”获取渗透、CTF全套工具;
回复“内网渗透”;获取内网渗透资料;
回复“护网”;获取护网学习资料 ;
回复“python”,获取python视频教程;
回复“java”,获取Java视频教程;
回复“go”,获取go视频教程
长按-识别-关注
Hacking黑白红
点分享
点收藏
点点赞
点在看
原文始发于微信公众号(Hacking黑白红):记一次某家园社区管理后台渗透测试案例
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论