edu后台的-密码重置漏洞
现在是凌晨12点30狂风暴雨,让我突然惊醒睡不着,起床打开了电脑查看了天预报,哇塞,暴雨,睡不着的我打开了fofa,嗯。。。输入了edu.cn。
因为大晚上的肚子比较饿!我就点开了第二个匹配结果的网站是个后台。试了几个弱密码后发现做了限制输入5次密码就被锁了。然后我在忘记密码哪里试试能不能挖一个密码重置漏洞?
然后我whois查了一下网站,发现了邮箱,然后通过信息搜集发现了该邮箱所使用的手机号码
进到忘记密码页面,在手机号码随便输入一个号码,然后抓包,看我图片的操作。
然后过了2秒我手机就收到了短信。
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| 一只满月的老猫 | 4.79 | 0 | 2021-09-16 20:08:00 | 一个受益终生的帖子~~ |
| Track-手电筒 | 10.00 | 0 | 2021-09-16 17:05:26 | 活动额外奖赏 |
| Track-手电筒 | 20.00 | 0 | 2021-09-16 17:05:59 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
LoginCan Publish Content
返回:技术文章投稿区
实战纪实
lbclbclbc
发表于 2021-9-17
有没有试试用改过的密码登陆该账号能不能成功呢?
评论列表
加载数据中...
ych0515
发表于 2021-9-17
这操作有点危险啊
评论列表
加载数据中...
heqirong
发表于 2021-9-17
其实这样的话不用抓包也行啊,直接在页面输入你自己手机号就得了
评论列表
加载数据中...
cc11
发表于 2021-9-18
可以可以
评论列表
加载数据中...
owl
发表于 2021-9-21
这哪里算漏洞啊
评论列表
加载数据中...
一呼
发表于 2022-6-24
强 哥们
评论列表
加载数据中...