前言:漏洞均已提交且均已修复
这里文章只做技术交流
挖掘过程
初步挖掘:
打开网站时发觉是一个很无趣的登录界面
在常规的扫目录以及弱口令爆破后均无果 挖掘这个系统
就随缘看了下源码和爆破js界面这些东西
反查看主页源码时无意看到个这个接口 即index.jsp页面
对其进行拼接查看
可进行访问即未经授权可访问
进行抓包拼接输入内容
获取到这个包
这里做了一个校验旧密码的操作
微信扫一扫
前言:漏洞均已提交且均已修复
这里文章只做技术交流
初步挖掘:
打开网站时发觉是一个很无趣的登录界面
在常规的扫目录以及弱口令爆破后均无果 挖掘这个系统
就随缘看了下源码和爆破js界面这些东西
反查看主页源码时无意看到个这个接口 即index.jsp页面
对其进行拼接查看
可进行访问即未经授权可访问
进行抓包拼接输入内容
获取到这个包
这里做了一个校验旧密码的操作
相关推荐