官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
从一个edusrc证书站逻辑漏洞到批量刷分
- 关注
在这里首先感谢月球师傅的指导;以下漏洞均已上报edusrc漏洞提交平台。
先通过弱口令进入学校内部
再注册一个普通用户账户
点击保存设置
抓包将用户名修改成admin
再按原来路径返回改网站,发现已经是admin,拥有管理员权限了
之后月球师傅提醒可以用该思路去找其他相同网站
正好有个fofa会员,就利用fofa去寻找相同站点
以上所述漏洞均已提交edusrc漏洞提交平台
最后再次感谢月球师傅的指导
请登录/注册后在FreeBuf发布内容哦
\
- 0 文章数
- 0 评论数
- 0 关注者