实战遇到的各种漏洞案例

实战注入到文件上传

首先是找到了目标站点的后台一般找到后台首先尝试的是弱口令,尝试输入了几次,没成功,同时这个错误提示不存在逻辑漏洞,无法猜测账号进行爆破。接着在账号admin后面添加一个’,这时候发现报错了这时候基本确定这个登录框存在注入。打开sqlmap -u”xxxx” --forms尝...
实战遇到的各种漏洞案例

实战之短信验证码回显导致的任意用户注册/任意用户密码重置

实战遇到的各种漏洞案例

实战之cookie明文,利用伪造cookie进入后台

在一次项目中,某个登录口存在弱口令登录。紧接着抓包发现cookie传参为明文尝试浏览器添加cookie直接访问后台成功进入到后台。最终弱口令和cookie明文分开提交,收获俩高危。
实战遇到的各种漏洞案例

实战之4位验证码可被爆破导致任意用户注册/密码重置

这是某个网站的注册口获取验证码后发现是4位验证码,于是尝试看是否能被爆破最终成功爆破出验证码注册成功密码重置处同理。