來到註冊處點選傳送驗證碼
等待重新傳送的秒數結束,一定要等這個結束才能成功
我開始的時候成功乙個結果復現不了
後來發現是這個原因,真想開啟開發的腦袋看看
隨便打驗證碼填密碼,確定抓包
成功註冊
填好手機號,驗證碼,點獲取動態密碼抓包
增加乙個引數phone
傳送成功,去自己手機看驗證碼
然後拿這個驗證碼登入
登入成功
某省移動的後台
隨手乙個admin admin出現您輸入的使用者名稱或密碼錯誤!
輸入root發現顯示不同
可以爆破使用者名稱,可是爆破了top1w使用者名稱字典也沒爆破出別的賬號。
遂之爆破root密碼
出現謎之302跳轉,當時想密碼對了302跳轉也只會有乙個payload有這個狀態碼啊
看了一下302跳轉的包,先用payload做密碼嘗試登陸,全部說密碼錯誤。
看了一下返回包302跳轉位址,跳轉到main.html這個頁面
於是輸入www.test.com/main.html,成功進入後台且使用者名為root
但是就直接去另外乙個瀏覽器直接輸入www.test.com/main.html,發現不能進去,確定不是未授權。
進去後看到其他使用者名稱採用爆破密碼的方式,發現密碼錯誤100次左右就會出現302跳轉啟用了cookie導致可以直接輸入www.test.com/main.html進入後台。
估計開發做的後門。
Gmail的三個XSS漏洞
起這個名字完全有標題黨的嫌疑,相信會有很多人慕名而來。其實這是看到老外的一篇部落格cross site scripting in google mail有感而寫,關於gmail的xss,相信做這方面研究的人會有很多感觸。gmail的成功是諸多有才之士造就的,在攻與防的對立中gmail成長 了,安全研...
main函式中的三個引數(有趣C系列)
概念 三個引數的作用 argc 命令列中的引數個數 ar 指標陣列,儲存命令列中的具體引數。ar 0 當前可執行檔案絕對路徑 ar 1 第乙個引數 ar 2 類推.env 指標陣列,環境變數。env end null 實操 實現加法 include using namespace std int m...
三個 的讀音
三個牛念?b n 三個馬念?bi o 三個羊念?sh n 三個水念淼 mi o 垚 三個土,讀音y o,意 山高,多用於人名。犇 三條牛,讀音b n,意 同 奔 急走,跑,緊趕,逃跑等。聶 三隻耳朵,讀音ni 鱻 三條魚,讀音xi n 意古同 鮮 磊 三塊石頭,讀音l i,本義 石頭多 猋 三條小狗...