EDUSRC | 记一次回显利用接管学校财务部
重置密码页面的回显利用
(1)登录框,没有账号密码,进入忘记密码界面,习惯性输入admin进行重置密码;回显内容显示:系统中不存在admin账号,随手又试了个123456,回显内容显示:用户没有绑定手机号码;所以根据回显内容的不同可以确认账号123456的存在
(2)用户123456,这么鸡肋的用户名,所以我当时就想系统中会不会还存在这种常见的用户名,所以利用回显内容的不同再爆破一波常见用户名,成功确认3个账号的存在
(3)对上面3个确认存在的账号进行弱口令登录尝试,以工号+工号的账号密码成功接管了两个教师账号,这里也初步猜测这套系统的默认账号密码为工号+工号
更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:5 金币
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-魔方 | 100.00 | 0 | 2024-11-28 17:05:40 | 本月首次发表一篇有效文章奖励 100 |
| Track-魔方 | 700.00 | 15 | 2024-11-28 17:05:31 | 深度 200 普适 300 可读 200 |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
漏洞文章
a530041400
发表于 1个月前
11
评论列表
加载数据中...
小瑟斯
发表于 1个月前
涨知识了
评论列表
加载数据中...
knight5266
发表于 25天前
涨知识了
评论列表
加载数据中...
静蓝
发表于 13天前
1
评论列表
加载数据中...
羽义
发表于 12天前
666
评论列表
加载数据中...
小博
发表于 12天前
1
评论列表
加载数据中...