帅小伙的日常帅气!
日常漏洞挖掘遇到的一个站,防护做的比较差,然后发在群里给HXD们一起淦,然后出现了有意思的点,这里记录一下。
切,一群大佬("hanpi")的日常!~~~
名师登录,弱口令登录失败,再点一下用户注册。
不允许注册?啊。。。这,不会吧,冷静一下。
路径有aspx,且有内容,回想一下脑壳里面看过的大佬的文章,直接来一手禁用JS好像可以搞定。
通过火狐浏览器插件,搞定。(插件名称:JS Switch,看更新时间比较老了。不知道表哥们都用啥。)一点都不弹了。填完信息以后,记得要把JS继续给他开起来,不然点下一步没反应。
,冲进来啦。下面就是还有一个越权环节。是由大哥发现的,我没太在意,跑注入去了。
-------------------------
抓包后发现下面的重要参数都是明文的,应该时处于职业习惯,群里的大哥随手改了一下便成功了。(个人中心信息修改保存时将参数LogNameText=改成要修改的账号即可)
坐实了自己是一名脚本小子,该学的语言还不学,好久没有进步了。
END
本文始发于微信公众号(NOVASEC):渗透实战 某aspx老网站撞墙记
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论