edu后台的-密码重置漏洞

hekai   ·   发表于 2021-09-16 01:59:34   ·   实战纪实

现在是凌晨12点30狂风暴雨,让我突然惊醒睡不着,起床打开了电脑查看了天预报,哇塞,暴雨,睡不着的我打开了fofa,嗯。。。输入了edu.cn。

因为大晚上的肚子比较饿!我就点开了第二个匹配结果的网站是个后台。试了几个弱密码后发现做了限制输入5次密码就被锁了。然后我在忘记密码哪里试试能不能挖一个密码重置漏洞?


然后我whois查了一下网站,发现了邮箱,然后通过信息搜集发现了该邮箱所使用的手机号码

进到忘记密码页面,在手机号码随便输入一个号码,然后抓包,看我图片的操作。

然后过了2秒我手机就收到了短信。

用户名金币积分时间理由
一只满月的老猫 4.79 0 2021-09-16 20:08:00 一个受益终生的帖子~~
Track-手电筒 10.00 0 2021-09-16 17:05:26 活动额外奖赏
Track-手电筒 20.00 0 2021-09-16 17:05:59 一个受益终生的帖子~~

打赏我,让我更有动力~

6 Reply   |  Until 2022-6-24 | 1516 View

lbclbclbc
发表于 2021-9-17

有没有试试用改过的密码登陆该账号能不能成功呢?

评论列表

  • 加载数据中...

编写评论内容

ych0515
发表于 2021-9-17

这操作有点危险啊

评论列表

  • 加载数据中...

编写评论内容

heqirong
发表于 2021-9-17

其实这样的话不用抓包也行啊,直接在页面输入你自己手机号就得了

评论列表

  • 加载数据中...

编写评论内容

cc11
发表于 2021-9-18

可以可以

评论列表

  • 加载数据中...

编写评论内容

owl
发表于 2021-9-21

这哪里算漏洞啊

评论列表

  • 加载数据中...

编写评论内容

一呼
发表于 2022-6-24

强 哥们

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2023 掌控者 All Rights Reserved.