漏洞挖掘 | 记src某系统多处漏洞挖掘

文章预览

扫码领资料 获网安教程 本文作者： 98 k 文章来源: https: //bbs.zkaq.cn/t/31770.html 0x1 前言 这次分享的文章是前段时间我一个师傅让我测的某学校的研究院，里面测试出来了蛮多的漏洞的，这次给师傅们分享一波心得体会！ 0x2 信息收集+弱口令登录 这里我先拿到这个网站，一看到登录框那么首先肯定想到的是弱口令登录，可以先通过最常见的 admin:123456、admin:admin、admin:admin123等最常见的弱口令去尝试下，或者还有就是可以通过sql注入的万能密码 admin’or’1’=’1#去尝试下万能密码 我这里直接使用弱口令admin:123456登录进去了，像一般的网站，也没有什么人维护，弱口令是非常常见的账号密码了 前面我是通过弱口令进去的后台，但是要是我们弱口令进不去，怎么办？ 那就可以通过登录页面的接口去做个未授权访问，然后看看有没有信息泄露 去找找常见的 ………………………………