内容简介:很久没更新blog,今天描述一下数月前工作中无意间发现的一次比较经典的重置任意用户密码的实例。攻击手段比较简单,简单描述一下。查看登录页面发现忘记密码有两种找回方式:提交漏洞报告给相关部门进行修改。
很久没更新blog,今天描述一下数月前工作中无意间发现的一次比较经典的重置任意用户密码的实例。攻击手段比较简单,简单描述一下。
0x02 漏洞描述
登录页面如下:
查看登录页面发现忘记密码有两种找回方式:
- 短信找回密码
-
邮箱找回密码
此处关注短信找回密码,邮箱找回问题暂不描述。
第一次检测
点击短信找回密码,输入任意工号:
此时发现接收验证码手机号可修改,修改成自己手机号进行验证:
成功进入设置新密码界面。
提交漏洞报告给相关部门进行修改。
第二次检测
修改后对漏洞进行复查,此时拥有一个已知账户关联的手机号。
同样使用短信找回密码,输入已知账户工号进行密码找回,此时为修改后指定手机号进行验证,无法修改。
验证时抓包,修改账户工号ID为任意用户:
此时同样进入到设置新密码界面。设置后成功登录修改的账户。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- MySQL root 密码丢失重置
- Django搭建个人博客:重置用户密码
- mysql 8 如何重置 root 用户密码
- 超微主板使用ipmicfg重置IPMI密码
- Mac MySQL重置Root密码的教程
- 如何在MySQL 8中重置root密码
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
哥德尔、艾舍尔、巴赫
[美] 侯世达 / 严勇、刘皓明、莫大伟 / 商务印书馆 / 1997-5 / 88.00元
集异璧-GEB,是数学家哥德尔、版画家艾舍尔、音乐家巴赫三个名字的前缀。《哥德尔、艾舍尔、巴赫书:集异璧之大成》是在英语世界中有极高评价的科普著作,曾获得普利策文学奖。它通过对哥德尔的数理逻辑,艾舍尔的版画和巴赫的音乐三者的综合阐述,引人入胜地介绍了数理逻辑学、可计算理论、人工智能学、语言学、遗传学、音乐、绘画的理论等方面,构思精巧、含义深刻、视野广阔、富于哲学韵味。 中译本前后费时十余年,......一起来看看 《哥德尔、艾舍尔、巴赫》 这本书的介绍吧!
