您的位置 首页 网络安全

实战-对某大学的fuzz行为

前言:上网课太无聊了正好fofa更新了,试试有没有多点东西。。。。 固定不变的开局:fofa语法:title=…

前言:上网课太无聊了正好fofa更新了,试试有没有多点东西。。。。

固定不变的开局:fofa语法:title=”xxx大学”

目标路径这么明显,那么就直接fuzz吧

这里也是fuzz到了后台路径,也算是个人的心得吧,这种绝对路径暴露的直接fuzz上一个目录

F12yyds,f12发现只进行了前台比较,并没有后端验证

没有后端验证,但是通过修改返回包失败了

信息收集途中发现验证码没有后台比对

同时账号输入回显不同

由于后台没有进行验证码比对,索性丢到burp跑字典

密码竟然是888888,果然弱口令yyds

最终泄露数据2w+,后台存在宽字节注入,点到为止不在进一步渗透

本文来自网络,不代表F12sec立场,转载请注明出处:http://www.0dayhack.net/index.php/1524/

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

CAPTCHAis initialing...
联系我们

联系我们

QQ群:884338047

在线咨询: QQ交谈

邮箱: 2676666667@qq.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部