0x01 解题
思路
一个进程用自己的ip去申请拿到code然后进入verify页面,另外一个进程去申请8.8.8.8
步骤
1. 首先注册一个账号 然后用两个不同的浏览器进入Change页面。这里我使用的是火狐申请自己的ip 谷歌申请8.8.8.8
2. 用火狐申请自己的Ip然后得到verifycode,输入但不要提交。
3. 谷歌这边输入8.8.8.8然后点击申请verifycode然后马上换至火狐浏览器点击提交。成功Getflag
0x02 思考
漏洞产生的原因在于后端验证不严造成的用户混淆。
先申请8.8.8.8 然后提交自己ip的verifycode让服务器认为输入的是8.8.8.8的凭证。
漏洞实例 任意用户名密码重置(三):用户混淆
学到的新姿势。。