Авторизация на сайте, как администратор
Здравствуйте, читатели, я админ канала Relix Team, недавно на сайте, я нашел критическую ошибку в https://sandeepsappal.in/adminlogin/admin/admin, которая позволяет получить доступ к администратору с незначительным изменением кода ответа. В данный момент уже исправлено командой разработчиков.
Для этого я использовал свой собственный разработанный метод.
Сначала я использовал базовые учетные данные входа в систему по умолчанию [admin admin, admin password, root root ...... .. etc и т.д.] Но с этим я ничего не получил, я пытался обойти вход в систему с некоторыми запросами NoSQL, поскольку SQL-запросы не показывают никаких ошибок, я думал, что задняя база данных является Mongodb или Orient DB, но с этим также не было удачи. Наконец, я открываю свой запрос-ответ Interceptor Burpsuite Pro и пытаюсь расследовать запрос и ответ. Ошибка настолько смешная и простой ответ - это как приведено ниже, когда я даю неправильные полномочия:
Смотрите в конце есть {"RESULT": false} Я изменил его на true
