摘要:
某平台存在垂直越权漏洞,可以拼接路劲获得管理员和老师权限,接下来为大家演示一下过程 可以看到普通用户是没有任何功能的 通过findsomething插件获取接口,拼接到原url并用httpx进行探测存活,以下是能获取到关键信息的接口 /admin/index /admin/organization- 阅读全文
posted @ 2026-01-06 18:33
alongSec
阅读(8)
评论(0)
推荐(0)
摘要:
1.信息泄露 通过谷歌hacking语法搜索到某高校敏感信息sfz,学号的泄露,提交到edusrc也是顺利通过。拿到这些信息也可以尝试进一步的渗透,比如试试有没有简单的弱口令啊。https://cdbc.pythonanywhere.com。这个工具可以一键生成各种语句。 2.dom型xss+存储型 阅读全文
posted @ 2025-12-22 00:42
alongSec
阅读(19)
评论(0)
推荐(0)
浙公网安备 33010602011771号