注册
登录
看啥推荐读物
专栏名称:
零度安全攻防实验室
一个分享实战经验的平台; 一个专注于web安全、渗透测试、漏洞挖掘、资源分享并为广大网络安全爱好者提供交流分享学习的平台。欢迎各位喜欢做安全的朋友加入。
我也要提交微信公众号
今天看啥
微信公众号rss订阅, 微信rss, 稳定的RSS源
微信公众号RSS订阅方法
B站投稿RSS订阅方法
知乎回答RSS订阅方法
知乎专栏 RSS订阅方法
雪球动态RSS订阅方法
微博RSS订阅方法
微博搜索关键词订阅方法
豆瓣日记 RSS订阅方法
目录
相关文章推荐
平话
·
宋朝的福州,真是风雅迷人眼啊
·
昨天
平话
·
华林寺一切都好,只是和尚不在了 | 城市影像书
·
4 天前
平话
·
清晨该很好,你若来食早|福州早餐大赏(下)
·
5 天前
今天看啥
›
专栏
›
零度安全攻防实验室
记一次简单的漏洞挖掘
零度安全攻防实验室
·
公众号
· · 2020-02-05 21:21
信息收集:拿到网址第一步肯定是先信息收集啦~信息收集就不多说了 简单看一下这个网站是nodejs写的然后是Nginx服务器,猜测是Mysql数据库然后学校首页这边有个报名功能,本想尝试盲打XSS..最后与失败告终... 然后这里有个查询幸福来的太突然了这里没有任何过滤,找到一个反射型XSS,没啥用,继续走这个网站都是一些静态页面,然后我打算对它的OA后台下手....OA后台:oa.xxx.cn 开始爆破管理员的密码没爆破出来,最后我想,居然爆破不出来,那我爆破其他账户不行?于是我便整理了一份字典,开始对它爆破,把字典全部导入账号,密码统一123456272都是账号或密码不正确的,其他的都是正确了而已还是大部分弱口令... 拿到了账号密码,登录OA后台 然后我看到有个 ………………………………
原文地址:
访问原文地址
快照地址:
访问文章快照
分享到微博
推荐文章
平话
·
宋朝的福州,真是风雅迷人眼啊
昨天
平话
·
华林寺一切都好,只是和尚不在了 | 城市影像书
4 天前
平话
·
清晨该很好,你若来食早|福州早餐大赏(下)
5 天前
静语妍习
·
如何克服拖延症
3 年前
ZaomeDesign
·
如何通过“螺旋曲线”赚足眼球?BIG创作套路详解!
3 年前
199IT互联网数据中心
·
汽车即服务:车队管理解决方案供应商的中期机遇
6 年前
温sir讲地缘
·
大航海时代 | 太平洋西北海区地缘特点
6 年前
银成医考
·
【18考研】研究生补贴一览表,考好就是赚到!
6 年前