首页 > 代码库 > [逻辑漏洞]记录一次挖洞

[逻辑漏洞]记录一次挖洞

阳光明媚的早上,turn on the PC and 随意地浏览着以往漏洞列表,希望在里面找到一些遗忘的痕迹。

果然,我发现一个被忽略的漏洞,一个暴露在外网的的一个接口,可以查询该企业网站是否注册了的手机号,mark了下。

技术分享

开着工具,然后继续翻了下资产列表以及深入的去查看一些交互比较多的地方,希望能够发现一些boom的地方

技术分享

技术分享

具备口算md5的我一眼就看出来这密码不简单,果断放在线查一下,果然,这个loginmodule有问题,通过 blasting 我进去了。

技术分享

No shell no bb

 

But shell is only the begining

[逻辑漏洞]记录一次挖洞