接口业务层面应该设置了检测,通过uri可以判断是api接口,可以对api进行测试。尝试查看是否有一些js,js中如果有api接口可以把api跑出来,或者直接fuzz api,然后对api进行变量的枚举和fuzz
从参数来看,用户名是mobile,也就是手机号,所以常规的用户名或者不在数据库的手机号可能都会显示一样
当然这个得看你自行确认一下是不是,我这边只能给一点建议
再一个从你的前端截图里确实看不出来太多东西,可以尝试扫一下这个站的目录,看看有没有其他信息
个人感觉不太像IP被ban了,建议从社工方面,搜索一下相关信息和手机号之类的再尝试
1、爆破难度可能很大
一是不知道用户名形式:可能是姓名缩写、可能是工号等等,由于返回信息太模糊,所以爆破难度很大
我们可以先去fuzz用户名形式再去爆破
2、尝试是否存在sql注入
3、fastjson反序列化
4、未授权访问
漏洞的形式看看能否获取系统权限
可能是锁IP了吧,仅内网IP地址可登陆。也可能是安全产品比如防火墙、堡垒机其防护功能。
提供的信息较少,不太好定性