记一次通过逻辑漏洞组合进入某公司股份管理后台的案例
2024-1-12 09:58:16 Author: 黑白之道(查看原文) 阅读量:13 收藏

*用到的工具:1、burp suite;2、fiddle*


# 一、打开公司官网

# 二、进入XX管理系统

## 漏洞一:信息泄露
1、通过前端接口拼接发现信息泄露,包括姓名和手机号等信息

## 漏洞二:密码重置
1、在忘记密码处根据上述信息泄露收集的手机号,对其中一个手机号进行密码修改,获取手机验证码后,任意输入手机验证码,进行抓包

2、修改响应包参数success为true

3、放包后跳至重置密码页面

4、输入密码abxxxx34,继续将响应包参数success修改为true

5、放包后显示密码修改成功

# 三、进入某员工xx管理系统后台
1、回到登录页面,输入新改好的密码进行登录

2、成功登录到账号为139xxxxxx12的员工后台

3、可提现该账户的余额

声明:笔者初衷用于分享与普及网络安全知识,若读者因此作出任何危害网络安全行为后果自负。

本文作者:AlbertJay, 转载请注明来自FreeBuf.COM

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650585595&idx=3&sn=152c3dbb8c66f27a7efc2450827ab895&chksm=82cbd6bc3b5e62e039db7179ee6959a00a5eaff8169a2ac7bcfea82ed13ebbfa026a46f63a3a&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh