其他
实战 | 一次敏感信息到接口fuzz-RCE
一次敏感信息到接口fuzz-RCE,开局一张图,一看就是高端局了
没其他子域名,多地ping下域名看下
除了已知的80和443
还开放了8443,8466
扫下端口看下
8443端口WEB端
梭哈,梭哈,梭哈
扯远了,测试了许久没发现可以利用的点,尝试了下掉鱼,发现客服只想让我充钱
本来还想着继续跟她聊的,除了让我充钱,啥都不肯
回归正题
继续尝试深入
但还是抱着试一下的心态fuzz下
Api/config 返回200
打开看看
开始fuzz
能获取到,再试下获取当前用户
晦气下机
推荐阅读:
实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘
原创投稿作者:AVANS杏佛