记一次身份验证绕过

admin 2024年2月12日14:01:12评论12 views字数 763阅读2分32秒阅读模式

记一次身份验证绕过

很多个登陆页面,在进行登陆后会返回一个json数据,其中会存在一个token字段,但是很多并未对token字段的有效性校验

在这个页面

记一次身份验证绕过

使用burpsuite抓包,抓返回数据包,再不知道账号密码的情况下,它的返回值为:

{    "code":"-1",    "msge":"图形验证码校验失败!",    "message":"图形验证码校验失败!",    "data":""}

我们尝试修改json返回值

记一次身份验证绕过

修改成这样或者这样:

记一次身份验证绕过

{    "code":"0",    "data":{      "token":"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"  }}

登陆成功

只校验了token字段是否存在,未校验token字段的有效性

记一次身份验证绕过

尝试使用repeater发包:

记一次身份验证绕过

  内容比较少,只是提供一点思路给到各位师父。也许很多人很多都已经知道了,但是并不影响分享给新手师傅们看 深夜笔记一直的宗旨就是能够给与更多新手师父的一点微薄帮助,不割韭菜。我也很感谢每一个师傅提供的投稿,这些很多都是各位师父自己亲手挖到的东西,突然回想起来自己第一次挖到人生中第一个shell的激动,真的恨不得告诉身边的人自己那份喜悦之情。所以不管是啥文章 只要觉得可以,大家都可以分享出来。前提是不要涉及到一些机密案例。当然也需要修复以后在进行发布。我也会尽力给大家搞厚一点马赛克的。

特别声明:

       由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,我不为此承担任何责任。

        作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者的允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。切勿用于非法,仅供学习参考

我不会渗透,我们下次再见! 

原文始发于微信公众号(深夜笔记本):记一次身份验证绕过

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月12日14:01:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次身份验证绕过https://cn-sec.com/archives/2488796.html

发表评论

匿名网友 填写信息