重要事情！！！

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号团队不为此承担任何责任。

Attacker安全

前言：

在网络世界的浩瀚星河中，有一群被称为“网络安全修仙者”的神秘存在。他们的目标是通过不断的修炼和探索，找到那些隐藏在数字世界中的安全漏洞，以此来提升自己的修为，并保护信息的宝藏不被邪恶势力所窃取。

今日，让我们翻开一页古老的卷轴，讲述一位网络安全修仙者如何在一次偶然的机会中，发现了一处隐藏在交易服务平台中的“管理端秘境”。

Attacker安全

正文：

故事的主人公是一位初出茅庐的阿柯，他没有高级的法器（账号和密码），却有着一颗对未知领域充满好奇的心。他首先来到了公众端的试炼场，这里虽然人人都可以注册，但他知道，真正的机缘在管理端的秘境之中。

 在一番探查之后，他发现了一条通往秘境的隐秘通道——未绑定手机号的账号。每当他尝试获取验证码时，秘境的守护灵（系统）会告诉他是否有资格进入。 

阿柯决定施展一项古老的法术——账号爆破术。 

这不仅仅是一种技巧，更是一种对数字规律的深刻理解。他发现了大量的未绑定手机号的账号，仿佛找到了无数隐藏的洞天福地。

接下来，他决定进行一次大胆的尝试：将自己的手机号绑定到这些账号上，并尝试重置密码。但是，管理端的大门并没有“忘记密码”的机关，这就像是一扇没有钥匙孔的神秘石门。 

于是，他打开了自己的法器——一本记载着无数秘术的魔法书（F12查看JS文件），开始寻找可能的咒语（接口）。在一系列复杂的法术（接口测试）后，他发现了一个神奇的咒语，它允许他使用公众端的法力（token）来获取管理端的数据。 

 然后，他发现了一个名为“user/add”的神秘符文，这可能是创建新账号的秘诀。

（GET请求无数据返回，改POST测试发现有回显提示信息）

（将回显的提示信息参数补充完整后，成功添加用户，且数据包回想中，回显有默认的账号密码）

经过一番尝试，他成功地创造了一个新的账号，并获得了进入管理端的密码。 

最后，他使用这些密码成功登录了管理端，开始了秘境探索。这次探索不仅展示了他的智慧和技巧，也揭示了即使是最坚固的城堡，也可能有不为人知的秘密通道。 

总结：

网络安全是一场永无止境的修炼之旅。每一位修仙者都必须时刻保持警惕，用他们的智慧和勇气，保护这个数字世界的和平与安全。

点击上方 关注我们