网站入侵

网站入侵,入侵渗透,怎么样入侵网站,黑客怎么拿站,黑客接单

Cookie漏洞入侵某学校教务系统实战

                       

注:本博客仅供技术研究。如果其信息用于其他目的,用户将承担全部法律和连带责任。本博客不承担任何法律和连带责任。请遵守中华人民共和国安全法
黑客19引领实战潮流,回归技术本质,以行动推动行业技术进步
唯一的联系方式[email protected] 和 [email protected]
欢迎转载,但请注明原始链接,谢谢

根据客户的要求,需要渗透到一所学校,所以花了大部分时间进行各种测试。一般方法如下

1.找个认证的地方
常见的可能是什么,http基本认证,cookie,jwttoken,自己定义的认证字段
我这里发现cookie而确认认证的用途是cookie,因为需要认证获得的信息部分,我把cookie删除后,无法访问相应的数据

2.进行伪造
cookie在许多字段中,我们还需要确认哪些是我们可控的,
1.1 灰盒
简单的方法是根据定位点逐一删除,然后尝试修改他,尝试伪造
1.2黑盒
靠经验和自己fuzz(编)
如下所示,我找到了灰盒cookie在许多字段中userCode可控(意思是后端会处理你的字段)


然后我直接一波枚举,毕竟我得到了账号的前提,6位,是数字
直接爆炸,长度大于451,也就是账号存在存在可以让我伪造

3.最后利用burp或者hackbar结构包裹在后台

总结,
1.找认证的地方需要时间
2.需要获取到cookie生成规律
3.当前sessionid有效,因为我进去后发现它总是失效,所以我可能会删除它sessionID后来才想起来

这个渗透教程到此结束!希望大家看看借鉴。如果您有技术咨询,请联系我们
黑客19引领实战潮流,回归技术本质,我们用行动推动行业技术进步
唯一的联系方式[email protected] 和 [email protected]
欢迎转载,但请注明原始链接,谢谢!

       

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.