利用csrf,撸进某代刷网后台拿到你的qq密码
Posted 暗网黑客
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了利用csrf,撸进某代刷网后台拿到你的qq密码相关的知识,希望对你有一定的参考价值。
转载自:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=56233&extra=page%3D6%26filter%3Dtypeid%26typeid%3D70
大家好!我是每天为大家分享好文的柠檬!与你一起成长~
有需要体系化黑客渗透视频教程可看文末哦
我现在注册一个分站
在后台修改资料处修改资料 用burp抓包分析一下
用的post方法提交,提交的数据都是明文,没有加入token验证来预防csrf。
我再注册一个分站 看看能不能修改他人的密码
搭建一个站点,在站点上做一个表单,诱导用户点击这个链接,当用户点击时,就会自动向存在CSRF的服务器提交POST请求修改个人信息
。
我访问我本地的这个站点
访问后提示修改成功
我们用新密码ywqjy666登录测试 QQ号也被修改
在实际情况下,我们是不知道用户的账号的,只是能利用这个漏洞修改他的密码
我们还修改了绑定的QQ号,我是试着 找回找回密码处会不会泄露出账号
没想到这里可以直接利用绑定的QQ扫码登录
直接一步到位 修改了密码 也知道账号
小白是如何成为月入超万的黑客的
更多黑客渗透体系化视频教程,直接免费观看
黑客视频教程+进内部群+领工具+靶场-----扫码领取
扫码免费领视频
往期内容回顾
扫码立即免费领取
黑客教程视频 靶场工具 讲师课件
一线安全工程师每天在线直播授课
以上是关于利用csrf,撸进某代刷网后台拿到你的qq密码的主要内容,如果未能解决你的问题,请参考以下文章