后台登录问题

请先 登录 后评论

5 个回答

0x6270 - 信息安全工程师

可能是锁IP了吧,仅内网IP地址可登陆。也可能是安全产品比如防火墙、堡垒机其防护功能。

提供的信息较少,不太好定性

请先 登录 后评论
Rain奕天
枚举不出来的话 就看看JS文件有没有可以利用的 不一定每个站都有洞的
请先 登录 后评论
空城 - 安全小菜鸡

1、爆破难度可能很大

一是不知道用户名形式:可能是姓名缩写、可能是工号等等,由于返回信息太模糊,所以爆破难度很大

我们可以先去fuzz用户名形式再去爆破

2、尝试是否存在sql注入

3、fastjson反序列化

4、未授权访问

漏洞的形式看看能否获取系统权限

请先 登录 后评论
你是憨憨吗

从参数来看,用户名是mobile,也就是手机号,所以常规的用户名或者不在数据库的手机号可能都会显示一样

当然这个得看你自行确认一下是不是,我这边只能给一点建议

再一个从你的前端截图里确实看不出来太多东西,可以尝试扫一下这个站的目录,看看有没有其他信息

个人感觉不太像IP被ban了,建议从社工方面,搜索一下相关信息和手机号之类的再尝试

请先 登录 后评论
阿蓝

接口业务层面应该设置了检测,通过uri可以判断是api接口,可以对api进行测试。尝试查看是否有一些js,js中如果有api接口可以把api跑出来,或者直接fuzz api,然后对api进行变量的枚举和fuzz


请先 登录 后评论
  • 8 关注
  • 0 收藏,5825 浏览
  • 匿名 提出于 2022-01-12 17:56

相似问题