传销站经典案例之篡改cookie进后台

最新推荐文章于 2024-05-29 09:26:18 发布
最新推荐文章于 2024-05-29 09:26:18 发布
阅读量1k 收藏 1
点赞数
分类专栏: 信息安全 文章标签: 代码审计 cookie 篡改cookie 传销站经典案例 篡改cookie进后台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18501087/article/details/84759499
版权

文章首发公众号:无心的梦呓
在这里插入图片描述
安全库:http://www.seclibs.com/
网络安全爱好者的安全导航,专注收集信安、红队常用网站、工具和技术博客

在传销站发现了一个比较有意思的代码,他的后台登陆是有很大的问题,采用了cookie去判断用户是否登陆
首先,先来看一下它是如何判断登陆的
01
看到这个,我想,大家应该都明白是什么情况了
它先获取了cookie中‘denglu’中的字段,然后判断其中是否存在’userid‘,如果存在,就提示已经登陆,然后跳转到后台主页面
我们接着往下翻,翻到判断登陆的代码
02
我们只关注它在登陆成功的时候,做了什么事情
设置session的地方,我们直接忽略掉,session我们完全不可控,并且上面也说了它是通过cookie来判断登陆的,我们这里就主要关注一下对cookie值的设置,它设置了otype、userid、username、token四个值,这个token设置的更有意思了,这里大家看图,我就不发出来了,咱们都是文明人,不过话说,这个程序员是有多么恨要让他写项目的这个人
通过这段代码,我们完全可以构造出一个cookie的值来,通过构造的cookie值,然后使用火狐插件,添加cookie,刷新,进入后台

本文首发于圈子社区,为了赚rank,我决定要发奋写文章

Vesel『无心』
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全
RainSun
11-28 436
越权修改 Cookie、Session、Token、认证、授权的关系 表单重复提交 1. 越权修改 1.1 场景 在进行渗透测试的时候,发现了一个越权修改用户密码的例子 在修改密码页面抓包,替换成其他用户的id且用户密码相同的情况下,便可以成功修改该用户密码。由于服务端只将用户的id和旧密码进行了匹配,所以攻击者可以收集大量用户名后,对使用了某些相同弱密码的用户进行批量修改密码 例如: 我们数...
通达OA前台伪造管理登陆cookie生成tongda.py
05-07
通达OA 前台伪造管理员登陆漏洞的cookie生成脚本,可以用以生成PHPsessionid,然后替换cookie,从而登陆通达OA后台
应急响应-网页篡改-典型处置案例
最新发布
qq_50765147的博客
05-29 1120
该系统部署phpstudy存在后门,以及采用某开源CMS,致使攻击者可以入侵服务器,且一旦入侵即为Administrators组权限。攻击者上传Webshell的时间分别为2019年9月13日和2019年11月6日。2019年11月6日上传Webshell的行为有可能是利用2019年9月20日爆出的phpstudy存在后门这一漏洞入侵的。攻击者上传Webshell后,在2019年10月28日创建隐藏用户tx$,企图通过该用户对服务器进行长久控制。
asp 退出登录修改cookie后台_深入浅出让你理解跨域与SSO单点登录原理与技术
weixin_39664994的博客
11-20 95
推荐阅读程序员谷力鸡:程序员诉苦天天高并发,达不到百万以上并发能叫高并发吗?​zhuanlan.zhihu.com程序员谷力鸡:担心面试微服务过不了?吃透这份文档,横扫BAT等名企不在话下!​zhuanlan.zhihu.com一:SSO体系结构SSO​ SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将...
篡改案例----防火墙之痛
weixin_34195364的博客
06-04 374
近年来网篡改、***或***成为一种主流,今年3.15晚会第一次谈论互联网安全,***、肉鸡、***、流氓软件等一大批词语入普通大众耳朵。 杀毒软件、防火墙传统的守卫者第一次被集中谈化,难道它们已经退出了网络安全守卫者的第一阶队,互联网让世界变得更开放、更灵活、更方便、更自由、更互动;SNS、WEB2.0、3G时代到来,让我们随时、随地、随便交流互动;...
COOKIES欺骗通杀漏洞后台
weixin_34112181的博客
07-16 365
在谷歌里搜索:inurl:news_more.asp?lm2=搜索到如下点:http://www.*********/news_more.asp?lm2=1691.将“/news_more.asp?lm2=169”替换成“/admin/admin_news_pl_view.asp?id=1”2.将 |'+dfirst("[user]","[admin]")+chr(124)...
利用 cookie 篡改来攻击 Web 应用程序
coolsun0922的博客
04-14 524
这篇文章阐述了为什么会话管理和会话管理安全性都是复杂的工作,这就是为什么它们经常会留给商业产品来处理。这篇文章描述这两个商业应用程序引擎的语言符号是怎样产生的。作者分析了每个机制的能力,阐述了它的弱势,还论证了这样的弱势怎样才能...
某公司电子商务传销产业之变革.docx
11-21
【某公司电子商务传销产业之变革】 电子商务的崛起已经成为全球商业领域无法阻挡的潮流,而直销行业作为传统销售模式的一部分,也开始积极拥抱这一变革。本文主要关注的是某公司在电子商务与传销产业融合过程中的...
10个传销和变相传销典型案例doc11.doc
09-29
10个传销和变相传销典型案例doc11.doc
台湾多层次传销文献之回顾.doc
12-05
台湾多层次传销文献之回顾 台湾的多层次传销,自1992年《公平交易法》公布并实施传销管理办法以来,已成为合法的商业运作模式。这一合法化推动了传销行业的规范化和民众对其接受度的提高,使得传销营业额逐年增长。...
互联网金融诈骗经典案例分析及防范对策.docx
11-11
本文主要关注五类常见的互联网金融诈骗形式:网络理财诈骗、代币传销、金融衍生品交易骗局、房地产养老诈骗和套路贷,并通过对具体案例的分析,揭示了这些诈骗行为的运作模式和防范策略。 首先,网络理财诈骗常常...
电子商务潮流中多层次传销业之变革.pptx
11-28
【电子商务潮流中多层次传销业之变革】 随着社会经济的发展,电子商务已经成为了商业领域的一大潮流,对各行各业产生了深远影响,其中包括多层次传销业。本报告主要探讨了电子商务如何改变多层次传销的运营模式,...
伪造Session登陆后台
JavaFans && Boy With The Wind
08-17 4783
login.asp的验证代码      user_name=trim(request.form("uid"))      user_password=trim(request.form("pwd"))            user_password=jk_md5(user_password,"long")   if user_name="" or user_password="" then   
通过burpsuite替换cookie登录后台
weixin_34203832的博客
02-11 6587
通过burpsuite可以比较方便的替换http头部的cookie、useragent等字段,在获取到用户的cookie后实现登录。具体使用方法如下: 如替换cookie,可以写正则表达式^Cookie.*$,替换内容则为cookie字段完整的内容。部分服务器可能会校验useragent,可以在如下替换菜单一并做替换。 转载于:https://www.cnblogs.com/showery/p/...
xss平台打cookie登录后台(保姆级教程)
orange777
02-25 4030
前言 最新看了一篇hack学习呀【记一次帮助粉丝渗透黑入杀猪盘诈骗的实战】的文章,有个xss的地方自己有点疑问就自己搭平台复现了一下 phpstudy环境复现 找一个xss平台,如 http://xsscom.com/ 随便新建一个项目111,复制下面的代码到存在xss的地方即可 直接找个反射型xss试一下(这里在虚机登录) 这里xss平台获取到用户登录情况 用这个获取到的cookie登录一下后台(在物理机试下) 这里说一下,为了方便可以下载一个修改cookie的插件,如google浏览器的EditT
通过修改Cookie登录后台
极光时流
03-17 5242
如何通过已存在的Cookie入博客园后台,我用IE浏览器和Chrome浏览器来测试! 首先我们通过IE浏览器拿到我们登入博客园后的Cookie,通过IECookiesview插件可以查看到IE浏览器下所有的Cookie信息,然后我们找到cnblogs.com点下的Cookie,然后复制下.CNBlogsCookie和key和value值,如图所示! 众所周知,cookies属于隐私数据,不...
E账号cookie分享_不用输入密码无风险?扫描二维码登录QQ账号也不安全!
热门推荐
weixin_39902870的博客
11-22 2万+
很多人都有这样一个误区觉得QQ二维码登录、快速登录不会被盗号,一直以来我也是这么认为的。但是0202年了,因为个人账号很容易找回,盗号者并不能像十几年前那样直接将qq占为己有,一般都是利用冻结账号前的时间群发广告诈骗信息进行钓鱼,你的账号也可能会因此被封禁。而实现这一目的,盗号者根本不需要知道你的密码!故事是这样的,昨天中午醒来发现个人使用的QQ突然被封了7天,但这个q号很少用来聊天,并且因为使用...
通过cookie登录以及使用账号密码登录
qq_43776408的博客
06-20 1万+
cookie就是让服务器知道是同一个人 即辨别身份的 比如你先登录入到CSDN中 然后复制链接重新打开 会提示你没有登录 另一种解释就是带着账户和密码连接服务器 浏览器的开发者选项中可以看懂cookie 下面的cookie内容是从登录后浏览器中复制的 如果不加cookie会提示无法登录 因为你之前没有登陆过 加了之后就可以登陆了 //////////////////////////////// from urllib.request import Request, urlopen from fa
E账号cookie分享_产品经理必懂知识点—cookie和session
weixin_39625709的博客
11-19 1万+
作为一个产品经理,如果不了解cookie和session很难设计好产品,尤其对于网产品经理而言,cookie和session是一个必须要懂的知识点。如果在中大型企业做产品经理,这个cookie和session就非常有用,接下来就讲讲cookie和session到底是什么。cookie是什么Cookie是服务器给客户端发的一个「通信证」。cookie是浏览器访问服务器以后,服务器传给浏览...
传销是不是赚钱最快的办法
02-17
传销(也称为多层次营销或网络营销)是一种商业模式,通过招募下线或销售产品来获得利润。然而,传销并不是一个可靠或可持续的赚钱方法,因为它往往是非法的,并且可能会导致参与者的财务损失和法律风险。 传销公司...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值