在2022年某月,在一个群中某班长发了一份 CTF 的数据流量包
发现了 x度网盘的数据包
通过数据包获取到x度盘的登录信息
把数据包放到我的挖洞神奇 Burp中,重放数据
显示成功 再把数据包放到浏览器重放
放到浏览器前提 要把自己的缓存、cookie 清除掉。
防止以前登录的信息还在
好了,成功登录到该用户的X盘
等一会 等资源加载完毕
显示已经登录的账户
去掉代理,采用正常网络访问
点击 个人资料
个人资料可以访问
来继续看看大佬的漏洞操作
访问 SRC
还能看到他对应的团队的队员信息
这里我怕挨打我就不放图了
基本上这个账户能访问的应用就都能够访问了
最后
这个漏洞我4月份已经提交了。
最后的最后想说的是,挖漏洞追求细心操作,多学习,就有了。
洛米维熊洛米维熊洛米维熊洛米维熊洛米维熊洛米维熊
不像我依旧什么也不会
洛米维熊洛米维熊洛米维熊洛米维熊洛米维熊洛米维熊
扫描二维码获取
更多精彩
洛米唯熊
免责声明 由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 星球的最近主题和星球内部工具一些展示
欢迎加入星球!
关 注 有 礼
关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。 还在等什么?赶紧点击下方名片关注学习吧!
推荐阅读