- 博客(2)
- 收藏
- 关注
RSS订阅原创 从简单逻辑到admin权限
理论上上述这些泄露了手机号的用户都可以任意登录,我们这里直接尝试上图中最下方的系统管理账号,一样的burp抓包、验证码爆破、填入key值,登录成功。网站后台不能使用验证码登录,但管理账号与门户的admin管理账号共享,那么可以通过刚刚的验证码爆破去重置admin的密码后实现登录。某里小号收到验证码后,一看四位数验证码,首先想到的是验证码最经常遇到的漏洞-验证码爆破。又是一个能够注册教师用户的网站,相较于学生用户,教师用户的权限肯定是更高的,功能也更多,那么存在漏洞的可能性也更大。
2025-02-07 15:15:18
261
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人