记一次渗透测试#那些年-登录框的那些事儿

已于 2024-04-18 17:02:47 修改
阅读量1k 收藏 23
点赞数 32
分类专栏: 记一次渗透测试 文章标签: web安全 网络安全 安全
于 2024-01-02 16:01:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81113856/article/details/135342843
版权

目录

一、描述

二、案例一 --- 缓存机制导致的信息泄露

三、案例二 --- 获取用户名时导致的信息泄露

四、案例三 --- 忘记密码处导致的信息泄露

一、描述

        针对于测试过程中碰到的系统登录地址,我们可以做些什么呢

弱口令?

注入?

逻辑漏洞?

等等…. 那会不会有信息泄露呢?或者是……

二、案例一 --- 缓存机制导致的信息泄露

1、访问系统首页

2、输入 1 会列举出所有包含 '1' 的工号(姓名)

3、此时,在burp中查看历史包记录,发现该请求的响应包泄露了所有用户的账号信息

// 使查询条件为空,返回该系统所有用户数据

4、复制用户密码密文到 MD5免费在线解密破解_MD5在线加密-SOMD5MD5在线免费破解,支持md5,sha1,mysql,sha256,sha512,md4,织梦,vBulletin,Discuz,md5(Joomla),mssql(2012),ntlm,md5(base64),sha1(base64),md5(wordpress),md5(Phpbb3),md5(Unix),des(Unix)等数十种加密方式icon-default.png?t=N7T8https://www.somd5.com/ 进行解密。得到密码为1xxx@abc

//通过查询其他几个用户的密码,得知密码格式为 '工号@abc'

5、进行登录

6、可查看用户相关证件信息

三、案例二 --- 获取用户名时导致的信息泄露

1、漏洞网址:http://www.yyyyyyyy.xxxxx.edu.cn/#/ 

2、输入学号密码进行登录,假如用户名存在时,或返回该用户相关的信息

3、可遍历学号来获取整站学生数据

4、根据系统提醒,用学号+密码(身份证后六位)进行登录

如:20190002/******

四、案例三 --- 忘记密码处导致的信息泄露

1、系统登录处,点击忘记密码,输入admin

2、响应包,点击获取问题验证,在bp中查看响应包,泄露邮箱身份证号手机号密码密文(md5

3、遍历用户名

 

爱玩游戏的黑客
关注
专栏目录
红队内网攻防渗透:内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 470
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
【文章汇总】嵌入式Linux公众号
热门推荐
嵌入式Linux
01-08 1万+
据悉,深圳某工程师沦为C语言笔试枪手 修改cmdline 把内存改成512MB 上拉电阻的作用 剖析C语言是如何画出这样的三角形的 c语言画谢宾斯基三角形 Linux字符设备驱动实例 哦,这是桶排序 回答一个微信好友的创业问题 Linux-C编程 / 多线程 / 如何终止某个线程? 想要学好C++有哪些技巧? 单片机外围模块漫谈之二,如何提高ADC转换精度 多重 for 循环,如何提高效率? Linus 在圣诞节想提前放假做了这些解释,哈哈哈 一步步分析-C语言如何面向对象编程 测试内存对齐对运行速度的影响
基于jQuery Easyui实现登陆界面
10-19
本文通过实例代码给大家分享了基于jQuery Easyui实现登陆界面,代码简单易懂,非常不错,具有参考借鉴价值,需要的的朋友参考下吧
登录
dai_xuan_的博客
09-09 255
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <style> body { background-color: darkgray;...
登录界面
PanHanJia的博客
09-09 291
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>登录</title> <style> #b1 { width: 400px; heigh...
【HTML】登录
xhdxhdxhd的博客
10-28 541
效果图 布局思路 外部定义一个较大的,垂直方向上有两行,第一行是上面黑色的头部和一个X图标;第二行使用垂直布局,三行,并使用 justify-content主轴对齐, align-items: 交叉轴居中。 代码实现 HTML: <!Doctype html> <html xmlns=http://www.w3.org/1999/xhtml> <head>...
简洁的登录
power1221的博客
05-09 453
效果图: html代码: <form class="box" action="index.html" method="post"> <h1>Login</h1> <input type="text" name="" placeholder="Username"> <input type="pas...
面试题总结(简答)
weixin_47956764的博客
04-06 1万+
1、对面向对象的系统采用的集成策略有哪些? 答:自顶向下,自底向上两种。 2、比较负载测试、压力测试、容量测试和强度测试的区别? 负载测试:在一定的工作负荷下,系统的负荷及响应时间。通过逐步增加系统负载,最终确定在满足性能指标的情况下,系统能承受的最大负载量的测试; 压力测试:在瞬间峰值的压力下,看系统的承受能力,最终确定系统性能在什么样的负载条件下处于崩溃状态; 3、测试计划都包括哪些要点? 答:项目的相关简介、测试范围、测试的参考文档、测试时间的安排、人力资源的分配、系统风险的评估和优先级的定义、缺陷的
十二10次IT大考 猪八戒网的系统架构和开发流程经历了什么?
cpongo5
12-11 346
刚刚发布的“腾云 10 号”,不是一个产品,而是 13 个研发项目的组合,更是近 200 人研发团队投入 3 个月精力的一次“行动”,在迄今为止猪八戒网创立的 12 间,这样的腾云行动一共有 10 次。这其间猪八戒网的系统架构和开发流程经历了什么?走进猪八戒网位于北京中关村的办公地,乍一进去有点蒙——这里还是个创客空间。而迎面八戒工场几个大字也证明了我们的猜测。对此,猪八戒网 CTO 叶萌告诉...
Java 全栈知识体系( PDF 可下载)
m0_67698950的博客
03-17 5496
40000 +字长文总结,民工哥已将此文整理成PDF文档了,需要的见文后下载获取方式。 全栈知识体系总览 Java入门与进阶 面向对象与Java基础 Java 基础 - 面向对象 Java 基础 - 知识点 Java 基础 - 图谱 & Q/A 基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制: Java 基础 - 泛型机制详解 Java泛型这个特性是从JDK 1.5才开始加入的,因此为了兼容之前的版本
一个极简美的登录
先养只猫的博客
04-10 745
个人学习 原创来至于哔哩哔哩:https://www.bilibili.com/video/BV1KA411T75J 可借鉴之处: 1.设计了颜色渐变: background:radial-gradient(circle,#3cadeb,#9c88ff);从中间向两边简便, background-image: linear-gradient(90deg,#3cadeb,#9c88ff); 线性渐变。 2.box-shadow: 0 5px 15px rgba(0, 0, 0, .8);使得中间页面更有立体感
技术干货系列|登录
最新发布
白帽子凯哥聊黑客
05-16 88
2、响应包,点击获取问题验证,在bp中查看响应包,泄露邮箱、身份证号、手机号、密码密文(md5)等。3、此时,在burp中查看历史包录,发现该请求的响应包泄露了所有用户的账号信息。2、输入学号密码进行登录,假如用户名存在时,或返回该用户相关的信息。//通过查询其他几个用户的密码,得知密码格式为 '工号@abc'2、 输入 1 会列举出所有包含 '1' 的工号(姓名)4、根据系统提醒,用学号+密码(身份证后六位)进行登录。1、系统登录处,点击忘密码,输入admin。如:20190002/******
实现简单登录
m0_55965566的博客
10-26 176
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>...
登陆窗口
weixin_40405880的博客
11-14 325
package w; import javax.swing.*; import java.awt.*; import java.awt.event.*; //添加swing.AWT和Event库 public class why extends JFrame implements ActionListener{ //创建类why继承于类JFrame,实现接口ActionListener。
登录的做法
weixin_57770623的博客
05-17 392
开发工具与关键技术: Axure 作者:王炯尧 撰写时间:2021/5/17 注意看红色箭头,共有10个步骤,按顺序操作下去 1.在元件库的基础元件中选择矩形元件 2.选择矩形元件后,将其拖至页面,并调整矩形的大小 3.填充矩形的颜色,并去除边 4. 选择1个二级标题和2个三级标题,拖动至页面,并改变文字 5.选择两个文本,拖动至页面,并调整大小 6. 选中文本,然后再右上角属性下面填写文本的提示文字 7.选择主要按钮元件,将其拖至页面,并改变按...
jquery modal登录窗口
ICode联盟
09-06 427
一款常见的弹出式登录页面,jquery模态modal登录窗口。
用户登录窗口
PeiKeYuan的博客
09-17 1628
首先创建一个项目,跟着一下操作 下一步,点击next 下一步,点击next 这里我选择的是Empty Activity 点击Finish完成项目创建,开始编写用户登录窗口了,先改为以下状态, 呈现这种效果 把所需的图片拖曳到res资源目录下的drawable图形图像资源下,因为是登录窗口,所以还需要一个登录成功的界面,所以我先在res中layout布局资源中...
前端学习————css实现简单登录页面
qq_63606575的博客
03-13 6480
css实现简单登录页面一、页面展示二、思路1.设置背景图片2.设置登录并使其处于靠右位置3.设置登录内容三、代码展示1.HTML2.css 一、页面展示 二、思路 1.设置背景图片 2.设置登录并使其处于靠右位置 3.设置登录内容 三、代码展示 1.HTML <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>个人中心</
我为大家带来了二十张登录界面!!!
txaz6的博客
10-04 1万+
小知识,大挑战!本文正在参与“程序员必备小知识”创作活动。 本文已参与「掘力星计划」,赢取创作大礼包,挑战创作激励金。 上次给大家分享了15张的移动端登录界面:https://juejin.cn/post/7010922696988966919 这次给大家带来了20张Web登录界面,真的是辛辛苦苦收集了好久,如果有喜欢的不妨给我点个赞吧,感谢! 以下所有设计图均来自网络,如有侵权,请联系我删除,感谢各位分享~ 本人最喜欢的一张????:(大家在评论区投票选出最喜欢的一张吧) 按钮的圆角让我看了真的是身心愉悦
掌握cisp-pte:渗透测试工程师必备资料与教程
视频教程则能够直观地展示渗透测试的每一个步骤,使学员能够更好地理解渗透测试的全过程,以及如何使用各种工具和技术来应对复杂的安全挑战。视频教程可能包括演示如何进行网络映射、系统漏洞识别、漏洞利用和安全...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值