本文主要是介绍墨者学院 身份认证失效漏洞实战,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、题目信息
二、漏洞利用
1.通过抓包,抓取test登录信息
发现card_id号以及一些回显的账号密码信息
搜索了一下这个id,发现是测试的头像
2.修改id号
分析请求包的逻辑,发现是请求了头像资源后再去请求头像id的详情包,所以根据这个逻辑,修改请求的card_id,就能获得对应card_id的信息,首先找到要查询的card_id
发现账号密码:
账号:m233241
密码:md5解密后,9732343
3.最高权限
| 恭喜!本关KEY: | mozhe276594ba96086a29eb1c72403ed |
这篇关于墨者学院 身份认证失效漏洞实战的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
