菜鸡对水务局的一次漏洞挖掘（已提交漏洞盒子并确认），以及一些分享和警示。

前言
令漏洞应该是大家认为最容易挖掘的漏洞，但是很多好兄弟都无从下手，找不到一个好的目标。在讲这次纪实之前，先给大家讲一下我的找到有弱口令登陆后台的一些菜鸡技巧。

刚开始可以谷歌语法搜后台登录，管理系统登陆啊这部分内容，需要每个网站都点开看看，登陆界面的样式基本可以判断这个网站的测试难度怎么样。政府网站的后台基本上难以搜索到，而且对政府后台的测试要非常小心（本人深有体会—-有一次进入万源市政府后台被日志记录了，还删不掉呜呜呜~~）我们找到的后台管理登陆常常会遇到一些比较友好的提示，比如：用户名不存在，或者只告诉你密码不正确等等，就可以确定用户名存在与否，常见的用户名有admin、root、super等等，也可以跑字典尝试一下。

讲点有用的东西，前几天有点痴迷弱口令漏洞，发现了一些规律。
1.找到确定用户名存在的网站先找个记事本记录下来。等晚点统一爆破。

2.如果想在平台刷分，微信公众号推荐给你。账号主体下面的公司，一般都会承接一些本地的app制作，如果你是制作人，app一般非常精美，但是后台管理界面一般都是简单，而且这些app服务范围有限，一般后台的设防非常低，是刷分的好去处，嘿嘿（我的秘籍没了)

上完课中午吃饭时间微信随便搜一搜，就能找到。

正片开始：首先呢，找到了水务局的后台管理网站。方法不说了，奉劝各位好兄弟对政府网站少花心思，风哥每次上课都要宣读网络安全法，被抓了别怪好兄弟没说过哈哈。

看到这个网站，没有提示任何用户名存在，而且有验证码。想用burp首先要解决验证码问题，这里分享小盒子辅导员分享的脚本~~https://github.com/c0ny1/captcha-killer
对于有些未遮挡变形的验证码，脚本爆破非常好用。
抓包部分不详细讲解了，怕有些大佬找头找到后台去了哈哈
主要是想告诉大家进去之后的正确做法：
1.核对（非常重要）
进入后台界面后

对网站的部分，内容，排版进行核对，确定不是虚假后台

2.不要翻阅里面的通知，文件签发等等。这些后台不仅仅管理网站的运行，还包括一些上级签发的重要通知，有可能还在审核的通知和进程，不要擅自翻阅和传播里面的内容（最重要）。
3.切勿在这些网站上留后门，做可能会崩站的渗透测试，立马上传漏洞是最好的处理方法。如果影响政府办公或者改变了网站内容，后果非常严重。说不定就是好兄弟十年之后去接你了^_^
4.burp抓包时候，password=1，但是抓包内容是C4CA4238A0B923820DCC509A6F75849B或者一串组合码。这些前端加密是在爆破时候经常遇到的，MD5之类的加密现在非常常见。在burp中已经自带了转密功能。

哈哈，以上都是一些个人小经验，对我自己也有些借鉴作用，希望大家能给我意见改正自己，学无止境我还需要继续加油呀！
最后，这个漏洞已经确认，大佬们别给水务局的安全员打哭了………………