近年来登陆网站如不信任网络环境下还可以使用扫码登陆,而实现扫码时往往需要通过拼接的手段来进行。
首先,这是某站登陆接口 https://login.yongshao.com/?ka=header-login
这是登陆接口当中提供的二维码,复制图片地址:
https://login.yongshao.com/qrcode/yongshao-14ec479c-f474-4bb4-ae25-e1d4f42e82ec
由于该站点还有自身的app,为了便捷从WEB上登陆站点用户只需要扫码即可。但问题在于扫码后即便有提示…
按步骤走了一边流程,扫码--登陆。
从WEB上看到网络请求,让人疑惑:
这不就是二维码图片地址中带有的qrid吗?
是不是只要获取大量的二维码地址,将
yongshao-f26dc1b8-b945-4067-b8f7-89b37a7df671
yongshao-11eb78f3-ba05-4642-9b52-1757e4f18cbe
yongshao-a6983074-7575-4278-a178-21efe05160b6
yongshao-5b1990bc-f5fc-4827-aff2-25381030e7c6
将它拼接成 https://www.yongshao.com/qrscan/dispatcher?qrId=yongshao-a2936583-a19c-44f8-ad74-715ccb72693b
生成短链接发送至受害者,受害者点击链接即可成功登陆,有人在这里可能会问为什么上述写到有提示需要用户点击完成才能登陆。没错,正常逻辑确实应该这样,但我也不知道是实习生写的登陆还是怎么…
其实该方法应该跟《Hacking You Without Password》中提及的一个思路差不多。大家可以回看一下…
不写timeline了,最近提了点outlook的洞还没啥消息,后续若fixed了就有可能会发出来。
以上临时工所述
我司一概不负责
本文始发于微信公众号(逢人斗智斗勇):某站点我链接问题账号并下发邀请
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论