点击上方蓝字·关注我们
本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法可以加白转发,禁止直接复制粘贴!
01漏洞证明复现:
2.该管理站点我们是不能进行登录的
3.对此后台进行目录扫描
发现存在swagger接口文档
4.有了swagger接口文档,我们就可以对该后台所有接口进行测试了,这里使用swagger-hacker对所有接口进行访问测试,发现都没权限。
5.个时候回到我们最开始的小程序,将小程序的token带入到请求中,再去尝试访问管理后台接口
6.这个时候后台所有接口都可进行调用了,相对于获取了整个后台权限。
02总结:
当我们测试小程序的时候可以利用小程序的token对后台进行测试,或者小程序假如为游客权限,利用小程序自带的低权限token去找高权限接口,高权限站点来进行测试.
03第一期课程:
首发价格 1599
开课前十个报名的可以享受1499的价格
(包含学生)
团购价:2人报团9折 3人成团8.5折 五人成团8折
开课时间:3月17日
学习形式:直播+录播+答疑
(15-20节课,每节1小时)
授课时间:每周 1-3节 具体根据实际情况调整
报名的师傅,可以找鱼哥领取比赛竞赛资料
目前第一期 后面还会增加CTF比赛讲解以及技能大赛赛题讲解
享3年课程免费迭代权益(支持分期)
知识星球优惠只需19.9
04交流学习
关注我们
点分享
点收藏
点在看
点点赞
原文始发于微信公众号(鱼影安全):【实战SRC】记一次共享电瓶车测试记录
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论