本次来自于实战中的一次黑盒测试,由于是客户系统,故此图片可能只展示部分范围或厚码。
我:“你好方便提供账户吗,建议最好提供一下,方便全面发现问题”
客户:“那我这边需要去申请一下开通账户,我这边没有权限”
客户:“要不还是先别开了吧,实在会影响测试无法进行再开通”
有注册功能,我想着,那不爽了吗。然后有登录功能:账号登录、短信登录,这里记住,后面会考的。
先看了下登录功能,发现账号登录也只能手机号作为用户名登录:
到这里难道真的没什么机会了吗?真的吗?不可能,绝对不可能,我不信,我要继续冲。
要认证,看到了吧?最后那个步骤,绝对能传图片。前面两步的信息乱填就行了,这绝对是人工审批:
访问返回的路径,拿下。正常测试客户系统,规定不让传马哦,所以传个可执行代码证明下就可以:
其实后台找到了,是有管理员后台的,但是有验证码,验证码绕不过去,配合验证码工具爆破了一下,他那个图片里面花里胡哨的,正确率比较低,效率太慢了。
忘记密码也不好使,因为那8k个手机号一爆,没有一个在系统里存在的。
![超细节的 | 一次从无到有文件上传]( "超细节的 | 一次从无到有文件上传")
利用本账号所发文章
进行直接或间接的非法行为
均由操作者本人负全责
犀利猪安全及文章对应作者
不为此承担任何责任
文章来自互联网或原创
如有侵权可联系我方进行删除
并诚挚的跟您说声抱歉
原文始发于微信公众号(犀利猪安全):超细节的 | 一次从无到有文件上传
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2655148.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论