密码重置漏洞备忘录

密码重置 将Host替换为你的服务器 Host: attackers-domain.com 双主机头绕过 修改Host被WEB程序或WAF拦截时,在请求中添加第二个Host,可能会绕过WAF. Host: target.com Host: attackers-domain.com X-Forwarded-Host 在X-forwarded-Host中添加你控制的域 Host: target.com...

- View all -

钓鱼邮件溯源过程

***.****.org/?pNXMqaAeWlZtVCNrGeNC&u=1&m=1 信息收集  长这样 查了一下域名Whois 和历史的解析记录 没有什么有价值的信息 中间转过几次域名商 看样子域名应该是二手 就不考虑了 Window服务器 Apache+Php 3389open 3306open 也没有翻到什么别的中间件,越简单越头疼. 前端没有过滤 Xss,发包、跳转没有问题...

- View all -