注册    登录
今天看啥  ›  专栏  ›  渗透Xiao白帽

【干货】从JS接口的泄露到拿下通用型eduGetshell漏洞

渗透Xiao白帽  · 公众号  ·  · 2021-10-17 00:39
文章来源:EchoSec转载于https://xz.aliyun.com/t/10353好兄弟给了一个后台,让我试试看,常规的看到后台界面又没有验证码 果断直接Burp暴力破解看看有没有弱口令 熟悉的味道 还是想的太天真 果然是没有也没有抓到什么有用的信息 目录也没有(页面中的未进行爆破),也没有跳转的的一些网站没办法 开启F12大法 network查看加载的js的文件 找找有没有关键的js文件 找到了login.js和common_fn.js打开js文件一步一步的进行代码审计简单了解一下 有跳转页面 而且注释也写明白了 当登录的是admin登录失败会跳转到xxx.aspx 直接打开这个页面,应该也算一个未授权的界面一个数据库设置界面 可惜了没有可以直接修改的地方 不过也获取到了 数据库的一些信息(不过是假的....)密码的type是password 直 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
推荐文章
财宝宝  ·  @幸运的阿陆:刚进入社会时,年少无知的我和队友一起创业。招来一个-20240627151937
2 天前
财宝宝  ·  @苏打小饼q:创业后,一定要小心年轻温柔的小姑娘,毕竟再让我做一-20240627154929
2 天前
财宝宝  ·  我送外卖我光荣!万一读中专也可以上哈麻牛剑,万一丈母娘不要彩礼,-20240626154507
3 天前
财宝宝  ·  开饭了。婆姨出去买东西了。生活质量暴爹。婆姨啊,你快回来!!!啊-20240624114155
5 天前
财宝宝  ·  @财迷财妹:我跟老公算了下,这辈子不吃不喝,要干50年,才买得起-20240623220606
6 天前
谋略那些事  ·  资治通鉴:领导想躺平,员工必生异心!
2 月前
生物谷  ·  开讲啦!神经退行性疾病靶点研究及治疗性药物开发进展
7 月前
中国企业家杂志  ·  抵押所有股票、借20多亿增持科大讯飞,刘庆峰:我愿意冒这个险
2 年前
匈牙利新导报  ·  【服务商讯】掌握新鲜资讯
4 年前
关于   移动版   ·   Py中国   ·   RSS之家   ·   codingpro   ·   Code   ·   link之家   ·   卧龙AI搜索   ·   藏经阁   ·   小百科
今天看啥 - 微信公众号rss订阅, 微信rss, 稳定的RSS源
© 2024 ~ 沪ICP备11025650号