一次由洗衣服引起的无果渗透 - JunMo博客

JunMo的博客

2019
记录生活
首页 » 渗透测试 » 一次由洗衣服引起的无果渗透

一次由洗衣服引起的无果渗透

因为懒的洗衣服,学校有洗衣机可是要钱所以就有了接下来的故事。

洗衣机要先关注公众号,然后下拉得到网址用电脑去访问。

先点击个人资料修改一下资料是否有xss。测试是没有头像也是固定的。

然后就从,保修跟反馈下手,分别提交了xss

然后就打到了xss,激动的不得了以后就不用自己洗衣服啦。

随之而来的还有电话,打过来时候吓死了,没敢接过了几秒钟我在打回去原来是我问我有什么故障要报。

但是把cookie替换进去也不行,打到一个没有登入的cookie,所有这个xss的收获就是打到一个后台地址,地址是另外一个子域名。

输入不存在的用户

存在该用户时

这时我要去吃饭了,一位神秘的朋友就出现了。

登入进去,交易金额里面就有我的一块钱。

但是显示是超级管理员看一下东西显示没权限

然后又爆出一个用户,并且发现修改密码时带了一个id参数。

打算试试看有没有越权修改密码,最后以失败告终。

后台也没任何上传的地方,这个用户也只能查看没有任何权限。一次不完整的渗透。

文章如无特别注明均为原创!
本文作者: JunMo
转载或复制请带上本文地址 http://mo60.cn/post-11.html
并注明出处 JunMo博客
原文地址《 一次由洗衣服引起的无果渗透
发布于2019-6-29
收录状态: [百度已收录][360未收录]

分享到:


打赏

评论

游客

看不清楚?点图切换

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册