实战渗透--一次对后台登录系统的简单渗透测试_资讯

创始人

2024-02-16 06:13:35

0次

某网站后台登录界面发现有验证码框猜想会不会存在验证码绕过的漏洞

首先随意输入用户名密码（用于抓包）

打开burp抓包分析数据包后找到对应的传参点即输入的账号密码还有验证码

这里可以看到账号和密码全都是明文传输并没有进行加密所以更改起来还是很容易的

把包发送至repeater 进行放包测试

先修改一下账号密码然后放包

查看一下回显

报错信息提示了密码错误

修改一下用户名和密码再次放包

用户名和密码均由admin改为adm

放包查看回显结果

注意看这时候报错信息提示账号错误由此说明刚刚进行测试的admin账号是存在的

改回账号再次修改密码密码改为1111 放包查看回显结果

果然这回报错的信息是密码错误

再修改一下验证码看看是否能绕过

验证码由2522改为2523

报错信息提示验证码错误此时改回验证码改为2522

放包查看结果

此时报错信息变为密码错误

很明显此处的验证码只是在前端生成所以可以绕过

既然验证码形同虚设顺带想到了能否暴力破解进入后台

尝试一下是否有弱口令登录暴力破解一下

设置爆破选区

字典设置好后直接跑

爆破出了密码拿去登录一下

成功以管理员权限进入后台

后续还在后台中找到了文件上传点猜测可以利用文件上传漏洞拿下服务器权限

喜欢穿一身黑的男生性格（喜欢穿... 今天百科达人给各位分享喜欢穿一身黑的男生性格的知识，其中也会对喜欢穿一身黑衣服的男人人好相处吗进行解...

网络用语zl是什么意思（zl是... 今天给各位分享网络用语zl是什么意思的知识，其中也会对zl是啥意思是什么网络用语进行解释，如果能碰巧...

发春是什么意思（思春和发春是什... 本篇文章极速百科给大家谈谈发春是什么意思，以及思春和发春是什么意思对应的知识点，希望对各位有所帮助，...

为什么酷狗音乐自己唱的歌不能下... 本篇文章极速百科小编给大家谈谈为什么酷狗音乐自己唱的歌不能下载到本地?，以及为什么酷狗下载的歌曲不是...

苏州离哪个飞机场近（苏州离哪个... 本篇文章极速百科小编给大家谈谈苏州离哪个飞机场近，以及苏州离哪个飞机场近点对应的知识点，希望对各位有...

家里可以做假山养金鱼吗（假山能... 今天百科达人给各位分享家里可以做假山养金鱼吗的知识，其中也会对假山能放鱼缸里吗进行解释，如果能碰巧解...

华为下载未安装的文件去哪找（华... 今天百科达人给各位分享华为下载未安装的文件去哪找的知识，其中也会对华为下载未安装的文件去哪找到进行解...

四分五裂是什么生肖什么动物（四... 本篇文章极速百科小编给大家谈谈四分五裂是什么生肖什么动物，以及四分五裂打一生肖是什么对应的知识点，希...

怎么往应用助手里添加应用（应用... 今天百科达人给各位分享怎么往应用助手里添加应用的知识，其中也会对应用助手怎么添加微信进行解释，如果能...

客厅放八骏马摆件可以吗（家里摆... 今天给各位分享客厅放八骏马摆件可以吗的知识，其中也会对家里摆八骏马摆件好吗进行解释，如果能碰巧解决你...