意外成为管理员并差点被炒鱿鱼（在别人的公司）😅

你知道那种不小心被加到错误群聊的感觉吗？突然之间你就在阅读Brenda的猫咪牙科手术信息？是的，这次情况类似，但取代猫咪照片的是，我获得了每个人的薪资、社保号码以及整个公司王国的钥匙。这一切都只是因为有人忘记确认我是否真的被邀请参加这个派对。🎉

这一切始于我测试一个名为"PeopleFlow"的时髦HR平台时。我拥有一个基本用户账户，权限大概就像湿纸巾一样无力。但有时候，即使湿纸巾也能让整栋建筑短路，如果你知道该戳哪里的话…

从忘记密码到忘记验证：一个让我接管账户的漏洞流程 🔄🔐

在我完成常规侦察后（你现在应该熟悉了 - subfinder、httpx等常用工具），我找到了PeopleFlow的主要应用程序。我创建了一个测试账户并四处探查界面…

（文章内容因会员限制被截断）

文章发表于InfoSec Write-ups，这是一个汇集全球顶尖黑客撰写的平台，内容涵盖漏洞赏金、CTF比赛、vulnhub机器、硬件挑战和真实遭遇等主题。