内容简介:很久没更新blog,今天描述一下数月前工作中无意间发现的一次比较经典的重置任意用户密码的实例。攻击手段比较简单,简单描述一下。查看登录页面发现忘记密码有两种找回方式:提交漏洞报告给相关部门进行修改。
很久没更新blog,今天描述一下数月前工作中无意间发现的一次比较经典的重置任意用户密码的实例。攻击手段比较简单,简单描述一下。
0x02 漏洞描述
登录页面如下:
查看登录页面发现忘记密码有两种找回方式:
- 短信找回密码
-
邮箱找回密码
此处关注短信找回密码,邮箱找回问题暂不描述。
第一次检测
点击短信找回密码,输入任意工号:
此时发现接收验证码手机号可修改,修改成自己手机号进行验证:
成功进入设置新密码界面。
提交漏洞报告给相关部门进行修改。
第二次检测
修改后对漏洞进行复查,此时拥有一个已知账户关联的手机号。
同样使用短信找回密码,输入已知账户工号进行密码找回,此时为修改后指定手机号进行验证,无法修改。
验证时抓包,修改账户工号ID为任意用户:
此时同样进入到设置新密码界面。设置后成功登录修改的账户。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- MySQL root 密码丢失重置
- Django搭建个人博客:重置用户密码
- mysql 8 如何重置 root 用户密码
- 超微主板使用ipmicfg重置IPMI密码
- Mac MySQL重置Root密码的教程
- 如何在MySQL 8中重置root密码
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
明解C语言(第3版)
[日] 柴田望洋 / 管杰、罗勇、杜晓静 / 人民邮电出版社 / 2015-11-1 / 79.00元
本书是日本的C语言经典教材,自出版以来不断重印、修订,被誉为“C语言圣经”。 本书图文并茂,示例丰富,第3版从190段代码和164幅图表增加至205段代码和220幅图表,对C语言的基础知识进行了彻底剖析,内容涉及数组、函数、指针、文件操作等。对于C语言语法以及一些难以理解的概念,均以精心绘制的示意图,清晰、通俗地进行讲解。原著在日本广受欢迎,始终位于网上书店C语言著作排行榜首位。一起来看看 《明解C语言(第3版)》 这本书的介绍吧!
