实战 | 通过F12审计来完成一次登录绕过

前言

“

申明：本次测试只作为学习用处，请勿未授权进行渗透测试，切勿用于其它用途！

本篇文章来自M78安全团队成员 M78Sec_伊电童

身边M78团队的师傅们都太优秀了！！！！

”

Part 1

“

首先拿到的这个站是这样的↓

一处登录页面，一般看到这种站我都不想去猜弱口令了

这里不卖关子了，听说最近F12大法很火，我也想试一下

打开F12 看看前端

发现一处很可疑的JS

如

访问

于是乎出来了看起来就非常有用的各种信息

访问该可疑接口

随后提示以/AutoLogin 意外结束

那我们就删除继续看看

出现如下界面

继续深入：

但是这里ID值我并不知道

继续审计JS

好了 我也输入1试试

如上图 接下来继续审计

可以看见随后进入此接口

继续访问

回车后

于是乎

未授权访问进入后台

算一个小通杀

建议：取消DemonService.asmx的对外访问