公益src一次简单的验证码绕过、弱口令

已于 2024-06-24 15:38:58 修改
阅读量211 收藏
点赞数 3
文章标签: 安全 web安全 渗透 网络 漏洞挖掘
于 2024-06-21 16:40:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80115097/article/details/139864891
版权

1、在漏洞平台,公益SRC上,找一个网站,找到登录处
 


2、抓包,发现密码明文,放到Repeater,多次Go,发现没有验证码,也不限制次数
 


3、进行爆破,得到密码(自己注册的号,容易爆破)
 


 


4、当我在次返回登录处,发现竟然又要验证
 


5、于是再次抓验证包,放到Repeater,多次Go,发现这次需要验证
 

![](https://nc0.cdn.zkaq.cn/md/16660/8df9a18df2c5138dfee6cb3c07124e1d_79278.png)


6、对比之前抓的包,发现cookie多一段,删除多出的,再次Go,就不需要验证了
 


 


7、拿到账号、密码进行登录,成功登录

   声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

黑客大佬
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记录一次公益SRC的常见的cookie注入漏洞(适合初学者)
hackzkaq的博客
10-11 177
1.谷歌语法找到注入点2.判断注入是否存在3.通过cookie绕过注入4.爆破表名5.偏移注入查找表的字段数6.最后可以通过爆破目录查找登陆框,进入后台进一步渗透拿权限这次实战记录很适合新手小白挖SRC,希望多多支持!hack渗透视频教程,扫码免费领。
公益src漏洞挖掘
weixin_46865273的博客
04-17 1445
某制作业公司存在sql注入 判断字段数 为8个 语法order by 8 字段数为9 页面会发生报错 使用联合查询语句 发现有回显点 使用函数 database() 出现库名 用得到的库名查询表名 语法:union select 1,2,3,(group_concat(table_name)),5,6,7,8 from information_schema.tables where table_schema=‘XXXXXXXXX’ 得到25个表 选中admin表 查询里面的字段 获得7个字段 语法:
SRC漏洞挖掘技巧(0基础入门到精通),只要收藏这一篇就够了!!_src挖掘入门
最新发布
weixin_57514792的博客
07-10 1285
SRC漏洞挖掘技巧(0基础入门到精通)
公益SRC挖掘 | 技巧与思路分享
zkaqlaoniao的博客
03-27 1090
我在上面的“提交报告”中,教大家提交的报告,漏洞标题、基本信息、漏洞正文,这3个都算好,不用管。制胜点就在这里了,比如你交了一个中危的漏洞是3分,但是你报告写的好,是优秀,积分翻倍变6分,相当于交了两个中危漏洞。我看很多人,漏洞正文只有文字 没有图片,很简陋,我们最好加上图片,审核员看的舒服一点,心情好点,对我们有好处。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。当初刚挖SRC,不会交报告,一股脑交了一大堆,全被打回来了,漏洞白挖 报告白写。
公益SRC实战|SQL注入漏洞攻略
2301_80127209的博客
11-15 135
1.谷歌语法找到注入点2.判断注入是否存在3.查找列数4.查找表名5.使用sqlmap进行验证第一次投稿,觉得这次实战记录很适合新手小白挖SRC,希望多多支持!申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.没看够~?欢迎关注!免费领取安全学习资料包!一起学习,共同进步t=N7T8免费领取安全学习资料包!
SRC公益上分的小技巧一
2301_80115097的博客
06-27 345
之前发布的文章,例如SRC中的一些信息收集姿势- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者里面就有提到若依系统,默认账号密码非常简单是 admin / admin123但是,往往我们去挖掘的时候很容易出现这说明了若依系统的门槛太低了,我们需要上点花样。
来自榜一的公益SRC挖掘思路分享
weixin_50464560的博客
03-31 4223
前言本文内容是写有关公益SRC如何高效上分。有些大佬看到这里可能会说:“公益SRC一点技术含量的没有,刷这玩意有啥用?”。我认为,任何一样东西存在,他都是合理的,当然了包括公益src。对小白入门来说挖掘公益src会让小白自身更加的了解漏洞的形成和挖掘。积攒更多实战经验,我认为意义非凡。这本身也是一种成长。公益src可以提供成多的实战环境,而不是枯燥无味的靶场毫无意思,在此之后你会遇到很多有趣的站点,也会学到更多的知识~想怎么快速的去交每一个漏洞呢?怎么高效的挖掘漏洞呢?展开了一系列的思考,才得出此文本文内容
弱口令漏洞与验证码绕过——渗透day04
qq_62716256的博客
08-10 3710
弱口令漏洞与验证码绕过——渗透day04
弱口令漏洞验证码绕过与SQL注入原理
weixin_51337717的博客
04-11 1342
弱口令漏洞与验证码绕过 服务弱口令爆破 Windows: 3389 远程桌面 445 SMB服务 1433 sqlserver服务 Linux: 22 ssh远程shell 21 ftp 3306 MySQL数据库 1521 Oracle 数据库 服务暴力破解软件 Medusa的特点: 稳定性好 速度控制得当 基于线程 支持模块少于hydra WEB-Form 支持存在缺陷 Hydra的缺点 稳定性差,程序时常崩溃 速度控制不好,容易触发服务屏蔽或锁死机制 每主机新建进程,每
超级弱口令检查工具(附带弱口令字典)
07-22
超级弱口令检查工具(附带弱口令字典)
弱口令爆破(图片验证码爆破工具)
03-01
用于带有图片验证码弱口令爆破
一次验证码.zip
07-26
在本压缩包中,可能包含的是一个简单一次验证码实现的代码示例,适合初学者学习和理解这一概念。可能的文件结构可能包括以下几个部分: 1. **生成器模块**:这个模块负责生成随机的一次验证码,通常使用强...
如何简单挖掘公益SRC
2301_80115097的博客
11-20 672
我在上面的“提交报告”中,教大家提交的报告,漏洞标题、基本信息、漏洞正文,这3个都算好,不用管。制胜点就在这里了,比如你交了一个中危的漏洞是3分,但是你报告写的好,是优秀,积分翻倍变6分,相当于交了两个中危漏洞。我看很多人,漏洞正文只有文字 没有图片,很简陋,我们最好加上图片,审核员看的舒服一点,心情好点,对我们有好处。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。当初刚挖SRC,不会交报告,一股脑交了一大堆,全被打回来了,漏洞白挖 报告白写。
SRC公益漏洞挖掘思路分享
2301_80115097的博客
05-07 958
一次尝试挖SRC的小伙伴可能会觉得挖掘漏洞非常困难,没有思路,不知道从何下手,在这里我分享一下我的思路。
漏洞挖掘 | 公益SRC上榜技巧
Python_paipai的博客
03-09 1156
漏洞别人已经帮你测好了,你只需要验证,如果存在漏洞,直接写报告提交,不用费时间去慢慢测漏洞。制胜点就在这里了,比如你交了一个中危的漏洞是3分,但是你报告写的好,是优秀,积分翻倍变6分,相当于交了两个中危漏洞。我看很多人,漏洞正文只有文字 没有图片,很简陋,我们最好加上图片,审核员看的舒服一点,心情好点,对我们有好处。当初刚挖SRC,不会交报告,一股脑交了一大堆,全被打回来了,漏洞白挖 报告白写。我在上面的“提交报告”中,教大家提交的报告,漏洞标题、基本信息、漏洞正文,这3个都算好,不用管。
超级干货!SRC漏洞挖掘项目实战经验分享
m0_71744960的博客
06-10 4434
SRC漏洞挖掘是指通过对软件和系统进行安全测试和分析,发现和利用SRC漏洞的过程。SRC漏洞通常是由于软件设计、实现或配置中的错误或缺陷导致的,这些错误或缺陷可能会被黑客利用来攻击系统,造成数据泄露、系统崩溃、加密货币盗窃等安全问题。
补天漏洞响应平台基本介绍
热门推荐
记录并分享学习安全的知识点..
05-30 1万+
警告 一、基本介绍 (一)专属SRC (二)企业SRC (三)公益SRC 二、漏洞提交流程和厂商奖励 (一)漏洞提交流程 (二)厂商奖励——漏洞奖励主要分为现金奖励,KB奖励和荣誉奖励。 三、 Web漏洞收录标准 (一)漏洞定义 (二)漏洞类型 (三)漏洞等级 (四)补天不收的漏洞 警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 白帽子行为规范:https://www.butian.net/Article/content/id/5 补天平台规范化提交...
各种SRC(应急响应)中心平台及漏洞提交
m0_62207482的博客
12-11 3776
alert(1)
SRC漏洞挖掘技巧(0基础入门到精通),只要收藏这一篇就够了!!
logic1001的博客
03-20 2222
这里是由零信任安全实验室组建的一个知识平台,平台有批量验证的脚本、工具以及一些漏洞的POC,后续还会分享网络安全资源(漏洞挖掘文章 工具 资讯)以及SRC漏洞挖掘案例分享等等,资源多多,干货多多!请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者和本公众号无关。工具来自网络安全性自测。
弱口令校验策略与Java实现详解
文章详细阐述了弱口令验证方案的关键组成部分: 1. 概述:文章首先介绍了弱口令校验的目的,即确保用户设置的密码强度足够,防止被轻易破解。 2. 弱口令设计思路 - 基本校验: - 长度校验:要求口令至少包含规定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值