Web漏洞之任意用户密码重置实例——新学员实战

作者:zzqsmile 我们7月份刚出来的学员,安全最主要的对所学的知识能够深度理解,熟练运用,在此恭喜zzqsmile,突破,这种突破不是技术上的,更多的是自信的突破

今天运气真好,早上上班来随便在盒子转转,找到个任意密码重置,加入社区好长时间了,也没发过一篇文章。

原因嘛,小白一个实在想分享却拿不出东西上台面,今天就算是潜水的我出来冒个泡吧

1.来到某网站注册页面,习惯性输入手机号18888888888,发现已经注册

Web漏洞之任意用户密码重置实例——新学员实战

2.然后去找回密码页面,如下图,正常流程填写要找回的手机号,下一步 :

Web漏洞之任意用户密码重置实例——新学员实战

3.然后下面一步是接收验证码,找回密码的关键地方到了

Web漏洞之任意用户密码重置实例——新学员实战

F12审查元素,修改手机号为自己手机号如下图所示

Web漏洞之任意用户密码重置实例——新学员实战

4.然后点击获取验证码,自己手机号收到验证码如下:

Web漏洞之任意用户密码重置实例——新学员实战

然后填写验证码,进行下一步

Web漏洞之任意用户密码重置实例——新学员实战

然后点击下一步成功来到了重置密码界面如下所示:

Web漏洞之任意用户密码重置实例——新学员实战

5.填写完新密码下一步,成功修改完毕,如下图所示:

Web漏洞之任意用户密码重置实例——新学员实战

6.最后我们看疗效

Web漏洞之任意用户密码重置实例——新学员实战

然后既然成功登陆了就随便看看呗

Web漏洞之任意用户密码重置实例——新学员实战

点击提现看看

Web漏洞之任意用户密码重置实例——新学员实战

很好奇,如果有钱能不能提现成功。

发表评论

电子邮件地址不会被公开。 必填项已用*标注