概述
某次看大佬们聊天时聊到某个站,于是赶紧上去看看。
过程
看看下这个站,并没找到什么能getshell的办法,好气啊。只能想想其他思路了。偶然发现可以查看其他人的个人资料以及交的会员费等详情。
于是搞了个python脚本爬了下所有交了会员费的用户。
发现用户登录的地方没有验证码限制,但是有登陆错误次数限制。
可以确定这个网站用户登录的地方的登陆限制是通过IP和用户名一起的,意思是同一个ip或者同一个用户只能错误登陆5次,之后便锁定了。
IP可以用X-Forwarded-For绕过,但是用户名没办法。
既然这样的话,那就试下用户名和密码一样的吧,看看这样能不能得到一些信息。
由于之前爬下来的账户显示的是昵称,假如没有昵称就显示用户名,这里刚好可以利用这点进行BurpSuite爆破。
OK,发现还是得到了一些用户的信息,试了下,可以登录,发现还不少。
当然,登陆之后还能看到用户邮箱的一些信息,进行了一下社工,部分账号可以登录12306等网站。
后来发现这种方式可以针对大部分的dizcus进行利用。
总结
技术还是有所欠缺,还是得继续学习。