记一次手把手带学员拿下600赏金

admin
admin
admin
138405
文章
113
评论
2025年4月8日21:24:04评论7 views字数 473阅读1分34秒阅读模式

前言

这是一份价值600的赏金报告嘿嘿过年的时候深情哥跟着学员一起挖了一下补天,这个报告比较有意思,给大家分享一下。

漏洞详情

1.打开小程序

记一次手把手带学员拿下600赏金

2.登陆然后抓包,然后点点,发现接口很熟悉,这一眼不就是RuoYi 若依

记一次手把手带学员拿下600赏金

3.并且我们发现一个爆红的接口,打开看看发现是获取我的个人信息

记一次手把手带学员拿下600赏金

4.这时候深情哥直接带学员在后面破解个/user/list,直接拿下敏感信息

/user/getUser------->/user/list
5.大量手机号码泄露和姓名泄露,基本上src可以搞个中了
记一次手把手带学员拿下600赏金
6.但是感觉还不够,得多赚一点,于是又找了个接口
/usercheck/list
7.发现多泄露大量的人脸信息,起飞,打包提交了
记一次手把手带学员拿下600赏金

8.链接直接访问确实是人脸信息

https://xaws.sqg/profile/upload/2023/07/04/XXXXXXXXXX.jpg

https://xaws.sqg/profile/upload/2023/04/23/CCCCCCCCCC.jpg

记一次手把手带学员拿下600赏金
9.带着学员直接拿下600块毛爷爷
记一次手把手带学员拿下600赏金

原文始发于微信公众号(湘安无事):记一次手把手带学员拿下600赏金

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月8日21:24:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次手把手带学员拿下600赏金https://cn-sec.com/archives/3927080.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息