【图片】看我如何在考试前get到考试试卷之矿大邮箱入侵。【中国矿业大学吧】

11月27日漏签0天

中国矿业大学吧关注：491,031贴子：22,943,726

1 2 下一页尾页
27回复贴，共2页
，跳到页

<返回中国矿业大学吧

看我如何在考试前get到考试试卷之矿大邮箱入侵。

取消只看楼主收藏回复

PS:此处漏洞已经报告校方，并且已经在乌云提交修复，谢绝水表。下面看我一一道来。

送TA礼物

IP属地:北京

来自Android客户端1楼2016-03-29 00:37回复

打开邮箱首页，有个找回密码选项，如图

IP属地:北京

来自Android客户端5楼2016-03-29 00:43

老规矩，点击找回密码

IP属地:北京

来自Android客户端6楼2016-03-29 00:43

有人在吗？没人没动力更啊

IP属地:北京

来自Android客户端7楼2016-03-29 00:44

然后，在主邮箱里，绑定的备用邮箱，会收到一条修改密码连接

IP属地:北京

来自Android客户端8楼2016-03-29 00:45

懒得打码了

IP属地:北京

来自Android客户端9楼2016-03-29 00:47

看看这一步修改一下行不行

IP属地:北京

来自Android客户端12楼2016-03-29 00:50

失败，继续下一步

IP属地:北京

来自Android客户端13楼2016-03-29 00:51

设置一个密码，先不要点击下一步，本地代理抓包

IP属地:北京

来自Android客户端14楼2016-03-29 00:53

插播一条:学长跨考计算机信息安全方向，目前手里大量考研资料，计算机学教材，计算机考研资料，成电，西电的都有，需要的联系我

IP属地:北京

来自Android客户端15楼2016-03-29 00:54

收起回复

IP属地:北京

来自Android客户端17楼2016-03-29 01:00

楼上那一步，没有对当前修改密码的用户身份合法性验证，导致绕过，直接把图上数据包里的邮箱改成目标邮箱，谁的大家自己脑洞

IP属地:北京

来自Android客户端18楼2016-03-29 01:01

然后放数据包，就修改成功了

IP属地:北京

来自Android客户端19楼2016-03-29 01:02

然后我们登陆目标邮箱，就是上图红色字部分那里的02120759

IP属地:北京

来自Android客户端20楼2016-03-29 01:03

大家注意看，楼上邮箱的学号是多少

IP属地:北京

来自Android客户端21楼2016-03-29 01:04

扫二维码下载贴吧客户端

下载贴吧APP
看高清直播、视频！

贴吧热议榜

1 2 下一页尾页
27回复贴，共2页
，跳到页

<返回中国矿业大学吧

发表回复

发贴请遵守贴吧协议及“七条底线”贴吧投诉

内容:

使用签名档查看全部

发表

保存至快速回贴

日	一	二	三	四	五	六

看我如何在考试前get到考试试卷之矿大邮箱入侵。

登录百度账号

扫二维码下载贴吧客户端