众测遇到的一些案列漏洞
文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!
0x1 前言
记一次在XXX的渗透测试时,遇到时拿到网站后台的一个小故事,也分享一下挖掘漏洞的思路,文章打码,还请师傅们莫怪
0x2 渗透
在渗透测试时,往往要了解清楚资产的范围,不要打偏,不要等到交报告时,客户说这不是我的资产,这就很幽默了?,话不多说,进入正题。
1.用户名枚举
拿到资产,访问一看是一个后台登录页面,经典的登陆页面对抗,这边我直接admin/123456,账号密码错误,尝试system/123456,不存在该账号,(用户名枚举)不管三七二十一,先水一个(不然一个没有很尴尬?)。
2、暴力破解
使用admin用户,爆破密码,没有进行限制,爆破但是没甚结果,应该不是弱口令(放弃)
3、泄露信息</
原文地址:https://blog.csdn.net/woshicainiao666/article/details/143504384
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!