2. 程式人生 > >【高危】XX網任意賬戶登陸

【高危】XX網任意賬戶登陸

阿新 發佈:2018-01-18
int 申請 body 限制 就是 發現 賬戶 bsp 如果

  該網站的任意登錄其實都已經提交得差不多了,本來以為這個漏洞會是一個重復的,然而試了一下發現思路奇葩。

  任意登錄,一般都為驗證碼爆破,4位手機驗證碼,而用於攔截的圖片驗證碼沒有或者可以重復使用,所以就能爆破。測試的話,也只需要截取數據包,然後將驗證碼intruder一下,看返回的內容是否都是密碼錯誤,如果intruder一定次數後顯示驗證次數過於頻繁,就沒法爆破了。或者是intruder的時候,剛開始爆破的那幾個驗證碼肯定是會返回密碼錯誤的長度,之後如果Length全都變成另一種,多半就是次數被限制了。

  說回這個漏洞,這個漏洞的精彩之處在於,不是通過一般的登錄接口登錄的,而是這樣一個流程:

  1. 提交申請

  2. 在申請表中驗證手機號

  3. 驗證成功後->申請提交了->順便也就登錄了

而在申請表驗證手機號的時候並沒有做爆破限制,所以這是個有點奇特的爆破,找到一個別人沒有找到的登錄口。

-875

【高危】XX網任意賬戶登陸

相關推薦

高危XX任意賬戶登陸

int 申請 body 限制 就是 發現 賬戶 bsp 如果   該網站的任意登錄其實都已經提交得差不多了,本來以為這個漏洞會是一個重復的,然而試了一下發現思路奇葩。   任意登錄,一般都為驗證碼爆破,4位手機驗證碼,而用於攔截的圖片驗證碼沒有或者可以重復使用,所以就能爆破

bzoj2127happiness 絡流最小割

targe ffffff 計算 def pre pin bre 網絡流 turn 題目描述 高一一班的座位表是個n*m的矩陣,經過一個學期的相處,每個同學和前後左右相鄰的同學互相成為了好朋友。這學期要分文理科了,每個同學對於選擇文科與理科有著自己的喜悅值,而一對好朋友如果

NOI2007社交

printf con blog color 網絡 () for 使用 ++ Description 在社交網絡(social network)的研究中,我們常常使用圖論概念去解釋一些社會現象。不妨看這樣的一個問題。在一個社交圈子裏有n個人,人與人之間有不同程度的關系。

UbuntuUbuntu絡配置DNS失效問題處理

修改 auto -name resolve address logs ask cat 其中 安裝了Ubuntu Server版本,配置了靜態IP地址,並配置了DNS。但重啟之後,發現連接外網時候,還是存在問題。 找了一下,是DNS的問題。 可以這樣處理: [ema

Linux命令——絡管理

改ip sta body ifconfig 掩碼 查看 net ping nbsp ping IP 測試網絡 ifconfig 查看IP ifconfig 網卡 IP netmask 掩碼 臨時修改IP netstat 查看端口 【Linux】

bzoj1495[NOI2006]絡收費 暴力+樹形背包dp

遞歸 兩種 highlight fin esp 統計 付費 main div 題目描述 給出一個有 $2^n$ 個葉子節點的完全二叉樹。每個葉子節點可以選擇黑白兩種顏色。 對於每個非葉子節點左子樹中的葉子節點 $i$ 和右子樹中的葉子節點 $j$ :如果 $i$ 和 $

嚴重XXXXSQL註入

enc 直接 o-c sql數據庫 cep win nbsp token app RANK 80 金幣 100 數據包 POST xxxx/sendapp HTTP/1.1Host: aaa.bbb.comUser-Agent: Mozilla/5.0 (Windo

unpunix絡編程卷1-->環境搭建(ubuntu14.04)

func class pos span net 下載 size_t tran make 學習unp網絡編程,樹上的例子均存在#include "unp.h",故需要對環境進行配置。 1. 到資源頁下載unpv13e 2. 解壓並將unpv13e 移動到相應的文件夾下

BZOJ2095POI2010Bridge 絡流

則無 cti rac ctime def urn freopen cpp 奇數 題目大意 ?  給你一個無向圖,每條邊的兩個方向的邊權可能不同。要求找出一條歐拉回路使得路徑上的邊權的最大值最小。無解輸出"NIE"。   \(2\leq n\leq 1000,1\leq m\

XSY2708hack 絡流

mar endif 圖片 oid while freopen span 連通 int 題目描述   給你一個圖,每條邊有一個權值。要求你選一些邊,滿足對於每條從\(1\)到\(n\)的路徑上(可以不是簡單路徑)有且僅有一條被選中的邊。問你選擇的邊的邊權和最小值。   \(n

CCF無線絡 搜索

{} sta ron math span 無線網 bsp i++ 無線 【思路】 多個起點同時四周擴展廣搜,註意會爆int 【AC】 1 #include<iostream> 2 #include<cstdio> 3 #include<

CCF無線絡 搜索+思維

add sta IV style pan work col long cstring 1 #include<iostream> 2 #include<cstdio> 3 #include<cstring> 4 #incl

Python小春爬爬

www. https tab 滾動 num class com element nbsp 1 # coding=utf-8 2 from selenium import webdriver 3 from time import sleep 4 import key

轉載lockstep 絡遊戲同步方案

地球 不用 擁有 混亂 傳統 服務器 回合 職責 帶寬   今天想寫寫這個話題是因為上周我們一個 MOBA 項目抱怨 skynet 的定時器精度只有 10ms (100Hz),無法滿足他們項目 “幀同步” 的需求。他們表示他們的項目需要服務器精確的按 66ms 的周期向

轉載趕集mysql開發36軍規

趕集網mysql開發36軍規 寫在前面的話:總是在災難發生後,才想起容災的重要性; 總是在吃過虧後,才記得曾經有人提醒過。 (一)核心軍規 (1)不在資料庫做運算:cpu計算務必移至業務層 (2)控制單表資料量:單表記錄控制在1000w (3)控制列數量:欄位數控制在20以內 (4)平衡正規

centos啟動絡卡報錯(Failed to start LSB: Bring up/down networking )解決辦法總結

今天一臺一直在用的虛擬機器重啟後,CRT連線不上,ip也ping不通,重啟網絡卡報錯,“Failed to start LSB: Bring up/down networking”,參考:http://blog.51cto.com/11863547/1905929,解決。 遇到這個錯誤好幾次,所以總結了一下

計算劃分

題目:把網路117.15.32.0/23劃分為117.15.32.0/27,得到的子網是( )個,每個子網中可使用的主機地址是( )。 題中將網路號為23位的ip地址劃分為網路號為27位的子網,可以分為2^(27-23)=16個子網。 每個子網產生的主機地址是2^(32-27)-2=30

iFeve併發技術沙龍集錦(含視訊)

【先做個小廣告:企業技術品牌建設,舉辦沙龍或者企業內部技術培訓,請聯絡[email protected]】 週日那天北京的天氣不是很好,看著要下大雨。秋風中偶爾能感覺到絲絲涼意,不過妹子們還是穿短褲,一下子也就熱了。沙龍是在車庫咖啡舉行的,車庫咖啡是創業者的聚集地,它所在的那條街也改

筆記AOE與關鍵路徑

  AOE網是以邊表示活動的有向無環網,在AOE網中,具有最大路徑長度的路徑稱為關鍵路徑,關鍵路徑表示完成工程的最短工期。 1.AOE網   AOE網是一個帶權的有向無環圖。其中用頂點表示事件,弧表示活動,權值表示兩個活動持續的時間。AOE網是以邊表示

筆記AOV與拓撲排序

1.無環路有向圖   不存在有向環路的有向圖稱為無環路有向圖(簡寫為dag)。一個無環路有向圖對應的無向圖可能存在環路,但它不存在有向環路。除非特別宣告,有向圖中的環路均指有向環路。   無環路有向圖可用於表示偏序集。 2.AOV網   在每一