利用审核元素任意修改密码漏洞

已于 2022-11-14 18:01:37 修改
阅读量1k 收藏 1
点赞数
分类专栏: 网络安全 实战案例 网络渗透 文章标签: 安全漏洞 网络安全 安全 web安全
于 2022-11-13 13:57:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36759934/article/details/127831433
版权

利用审核元素任意修改密码漏洞

后台登录,有个修改密码

在这里插入图片描述
打开审查元素,把输入用户名这个标签的value值改为admin

在这里插入图片描述
在这里插入图片描述
输入密码,修改成功。

在这里插入图片描述
在这里插入图片描述
友情链接处 链接图片可以选择 php上传

在这里插入图片描述
传个大马测试

在这里插入图片描述
转自:https://www.hao-hacker.com/?post=15

飞扬的浩
关注
专栏目录
漏洞挖掘】——157、密码找回之密码重置参数篡改
Fly_鹏程万里
08-23 110
密码找回逻辑含有用户标识(用户名、用户ID、cookie)、接收端(手机、邮箱)、凭证(验证码、token)、当前步骤等四个要素,若这几个要素没有完整关联则可能导致任意密码重置漏洞,其中在部分Web应用系统的密码重置阶段,密码重置时操作的对象一般会以用户ID为标识,但是由于ID可预测导致用户可以通过更改ID的方式重置任意用户的密码
网络安全 | PHP代码审计】YXcms
最新发布
等风来
09-19 935
由于所有后台页面都继承了这个类,因此所有后台页面都会执行这个构造函数,导致全站沦陷。管理员未登录的情况下,访问钓鱼链接,也能实现后续的账户接管。
web小白,实战操作拿到网站后台账户和密码
frutrue的博客
10-09 8025
话不多说,直接上赶货,前几天遇到一个网站,就想着怎么拿到他的后台权限 首先我想的是去查看一下他的网站框架是什么,先随便构造个报错,看能不能有什么提示? 我们可以从报错信息中看到一些信息,可以看到网站报错信息,知道了这个网站的框架是thinkphp,而且是thinkphp3.2.3版本的,那样就好办很多了,我们去git上面找可以扫描这个容器漏洞的工具(这里推荐TPscan) (此图省略,因为原先的图片丢失了哈哈哈) 扫描后我们知道了,该网站的容器上存在thinkphp日志泄露...
审查元素上传php,KindEditor上传解析漏洞/列目录/内容漏洞_PHP教程
weixin_39714528的博客
03-21 307
本文章来给大家介绍一下关于KindEditor上传解析漏洞/列目录/内容漏洞分析,有需要的朋友快速补上吧。Kindeditor漏洞 编辑代码内容被执行kindeditor漏洞描述:在kindeditor编辑代码添加到数据库时没有任何问题,也就是一些HTML代码不会被执行,例如:web编程,这样的代码在首次编辑的时候没有被执行。但是,从数据库里取出来再放到kindeditor里进行修改的时候问题就出...
恶搞网站数据教程[审查元素小教程]
Python狂MC小豆的博客
01-19 466
前言 前情介绍 大家好,I am 小豆 (凭借着一年级的英语水平搪塞过关) 我记得我们搞了一期类似的教程(点我查看) 今天我们还要搞一期! 再哔哔两句 我以后可能还会再出几期审查元素的智障教程,尽请期待! 正文! 好了废话不多说! 利用审查元素可以干很多 好VAN 的事情 比如……………… 哈哈哈哈哈哈哈哈哈哈! 第1步 将鼠标放置于目标上 右键选审查元素! 第2步 打开页面 大家已经看...
审查元素(恶搞篇)
weixin_46692659的博客
06-22 1323
hello,大家好,我是雨落,是的,雨落回来了,前面在疯狂补编程啊啊啊啊—— 所以,拖更了,不好意思o( ̄┰ ̄*)ゞ,今天带来一期(番外篇)OH!OH!OH—— 审查元素(恶搞篇) 众所周知,我们用的网站是有很多部分组成的,审查元素就包括了这些东西。 上图(我们以百度网站为例) 这个呢就是百度网站了,怎么查找元素呢,点击鼠标右键,找到审查元素就可以啦。点击审查元素就会看到这样一个页面—— 现在教大家如何恶搞百度网页(无任何针对性)(为了教大家认知审查元素) 看到红色方框的部分了吗,接下来看到审查元素
360浏览器如何查看星号里面包含的密码内容
tiging的博客
06-11 3356
2、我们点击代码中的type="password"将其修改为type="text",这时再看密码框就可以看到密码已经显示出来了。360正式版浏览器使用的是自带的:se://login-manager/,登录管家设置。1、使用鼠标右键单击密码框,在弹出的右键菜单中可以看到“审查元素”这一项。360极速浏览器和360正式版浏览器使用的登录账号保存的密码记录是不一样的。360极速浏览器使用的是扩展:更多工具->密码管家。
密码学与安全技术
weixin_43749051的博客
02-16 9443
密码学与安全技术 工程领域从来没有黑科技;密码学不仅是工程。 密码学相关的安全技术在整个信息技术领域的重要地位无需多言。如果没有现代密码学和信息安全的研究成果,人类社会根本无法进入信息时代。区块链技术大量依赖了密码学和安全技术的研究成果。 实际上,密码学和安全领域所涉及的知识体系十分繁杂,本章将介绍密码学领域中跟区块链相关的一些基础知识,包括Hash算法与数字摘要、加密算法、数字签名、数字证书、P...
深入理解XXE漏洞
snowlyzz的博客
08-22 911
xxe浅了解
模糊测试--强制性安全漏洞发掘
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
Java安全编码黄金法则:避免常见漏洞的策略
[Java安全编码黄金法则:避免常见漏洞的策略](https://itshelp.aurora.edu/hc/article_attachments/1500012723422/mceclip1.png) # 1. Java安全编码概述 随着互联网技术的飞速发展,Java作为一种广泛应用于企业级...
模拟浏览器抓取网页内容(审查元素中内容)
02-01
利用HtmlAgilityPack可以轻松获取网页内容,但是无法获取动态加载的内容, 通过webBrowser模拟浏览器,获取网页内容。 大致思路: 1、webBrowser加载网页 (如有Ajax动态加载分页的网站,需要配合页面动作,直到页面加载完成,如:滚动条操作) 2、加载完成后获取webBrowser.Document (配合使用webBrowser_DocumentCompleted和Application.DoEvents()) 3、解析网页内容
浏览器的审查元素,这是一个神奇的玩意儿
热门推荐
蜗牛先生
06-03 6万+
在做页面的过程中,应用到一些前端框架,很多时候都需要对框架的原始设计进行微调,但是如果直接在框架文件里面去搜索,有时候一搜就会有一大堆差不多的,还得一个个去比对到底哪个才是我想要找的,这样一趟下来就要花费不少时间,更何况这种情况还不算少。 这个时候,就要改变策略了!而使用浏览器中的“审查元素”功能就是一个非常好的,也是非常明智的选择。 正好自己今天做页面的时候又用到了审查元素,所以...
恶搞网站名教程[审查元素小教程]
Python狂MC小豆的博客
09-30 504
审查元素是一个Very好玩的东西 今天小豆就来教大家如何恶搞网站名,话不多说,开始! 我们拿度娘当炮灰吧,打开网页,右键打开小菜单,选审查元素 剩下的看图来做: 点一下小三角 再双击“百度一下,你就知道” 成这样: 改成你想要的 现在再看………… 呦西!《完!》 ...
YKfaka优卡自动发卡程序漏洞合集(这是篇水文)
课嗨教育的专栏
08-09 3054
alert(/xss/)
异次元发卡最新漏洞0day(XSS组合拳)
白昼小丑的博客
01-18 2034
异次元商店头像上传处存在存储型XSS注入(user、admin均存在)。其中,user处有过滤,admin无。 将恶意脚本插入后,管理员访问用户管理页面即可执行恶意脚本。 恶意脚本执行后,会新增一个管理员用户,进而获得权限。鉴于漏洞还没有泛滥,而且很多站都有漏洞。EXP暂时不公开。需要学习可以加入知识星球
黑客-抓取数据包,并破解加密密码
猪也fine的博客
09-06 2万+
本文目的:抓取局域网内所有数据包,并获取数据包内密码,针对一些加密了的密码,进行解密工作,以此获取对方密码。之前我写过关于局域网内,使用arp欺骗,截取目标主机上网数据包。这是链接 http://blog.csdn.net/qq_35315699/article/details/74178872但是这个方法有点复杂,不易掌握,而且可能影响对方网速。这里有一个巧妙的方式。我是以寝室网作为实验场地
网络安全:绕过MSF的一次渗透测试
A_991128a的博客
02-12 450
这次渗透的主站是 一个Discuz!3.4 的搭建 违法招piao 网站, 配置有宝塔WAF用 Discuz!ML 3.X 的漏洞进行攻击,但是没有成功发现主站外链会有一个发卡网,引导人们来这充值,是 某某发卡网,而且域名指向也是主站的ip,两个网站在同一个 ,此处忘记截图了网上有通杀payload,写shell的过程在这里省略了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞扬的浩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值