Track 安全社区
免费学习黑客教程
实战攻防平台
黑客必备导航
Track商城
招聘专版
登录
注册
论坛首页
>
技术文章投稿区
>
实战纪实
记第一次越权漏洞实战
逗鱼
· 发表于 2021-03-25 17:56:00 ·
实战纪实
## 0X01 前言 实战漏洞挖掘已经挖了一个月了,但是发现SQL注入、XSS漏洞、验证码绕过这三种漏洞自己挖的比较多,不是很想继续挖这三种漏洞了;毕竟在学院学的远远不止这三种漏洞,所以心血来潮想挖挖越权漏洞。 ## 0X02 实战挖掘记录1 找了一个可以进行注册账号的站点,使用临时邮箱先注册了一个账号,登录账号; ![](https://nc0.cdn.zkaq.cn/md/7291/2c166441cd6b58707a35fd04a2d2a8b9_16069.png) 点击修改资料,稍微修改一下资料,使用burp抓取修改资料的数据包(因为这里如果不修改资料的话burp抓不到账号资料信息),直接放出数据包后发现数据库报错,报错的位置为邮箱处,我就奇怪了,这数据库怎么就报错了,我又没做SQL注入,看来这里估计是做不了越权漏洞了; ![](https://nc0.cdn.zkaq.cn/md/7291/e869b4fed3c8f80362fe17a1f031f3d8_52093.png) 既然数据库都报错了,那就试试SQL注入得了,SQL注入常规操作直接走起,and 1=1、报错注入,宽字节注入,延时注入都报错了,最后发现好像不管输入啥都会报错,但是又觉得这里奇奇怪怪的; ![](https://nc0.cdn.zkaq.cn/md/7291/0b2762b2b5b96d94f87e8f1521f291f4_34663.png) ![](https://nc0.cdn.zkaq.cn/md/7291/0ecd74b7c5888
用户名
金币
积分
时间
理由
Track-聂风
60.00
0
2021-03-26 14:02:27
SRC实战分享,加油~
打赏我,让我更有动力~
赏
0 条回复
|
直到 2021-3-25
|
1514 次浏览
登录
后才可发表内容
返回顶部
投诉反馈
逗鱼
用户组:
Track 正式学员
积分:
0
金币:
182.00
主题:
3
帖子:
8
返回:技术文章投稿区
实战纪实
NISP 国测证书限时补贴活动
web安全工程师高薪正式课
© 2016 - 2024
掌控者
All Rights Reserved.