扫码领资料

获网安教程

用到的工具：1、burp suite；2、fiddler
一、打开公司官网

二、进入XX管理系统

漏洞一：信息泄露
1、通过前端接口拼接发现信息泄露，包括姓名和手机号等信息

漏洞二：密码重置
1、在忘记密码处根据上述信息泄露收集的手机号，对其中一个手机号进行密码修改，获取手机验证码后，任意输入手机验证码，进行抓包

2、修改响应包参数success为true
3、放包后跳至重置密码页面

4、输入密码abxxxx34，继续将响应包参数success修改为true

5、放包后显示密码修改成功

三、进入某员工xx管理系统后台
1、回到登录页面，输入新改好的密码进行登录

2、成功登录到账号为139xxxxxx12的员工后台

3、可提现该账户的余额

声明：笔者初衷用于分享与普及网络安全知识，若读者因此作出任何危害网络安全行为后果自负。

来源:https://www.freebuf.com/articles/web/382770.html

声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担。所有渗透都需获取授权！

（hack视频资料及工具）
（部分展示）
往期推荐
【精选】SRC快速入门+上分小秘籍+实战指南
爬取免费代理，拥有自己的代理池
漏洞挖掘｜密码找回中的套路
渗透测试岗位面试题(重点：渗透思路)
漏洞挖掘 | 通用型漏洞挖掘思路技巧
干货｜列了几种均能过安全狗的方法！
一名大学生的黑客成长史到入狱的自述
攻防演练｜红队手段之将蓝队逼到关站！
巧用FOFA挖到你的第一个漏洞
看到这里了，点个“赞”、“再看”吧