桃花林第二次挖洞洞，，求过过，，哭

首先呢先去fofa找了下后台登陆的，，或许是我语法有问题，没找对

然后找中国的，随便点了一个



然后呢就找到了 这么一个网站 我本意是要找一个后台登录 试试弱密码的啊 哎



进去之后就有点蒙 想着不是后台登录嘛

然后我一看，可以买东西 就去试了试有没有支付漏洞 但事实证明没有

我先随便选了一个商品进行支付 我一看可以领优惠卷 就想着可不可以 改优惠卷的额度 然后我就burp抓包看了下



既然没有只能先放弃支付漏洞了

然后他不能领卷，提醒我说需要登录 就去注册 然后我就想着试试admin的用户 没想到他提醒说已经有这个用户了 我就去登录admin的用户 祭出我们的神器burp（刷社区看到的一句挺有意思的话）抓包 然后去爆破他的密码 由于没有验证机制 我轻松拿到了他的密码







为了确定是否有有验证 所以我在24位也加上了123456 不是我不想加100位去 是这个字典就23个密码啊，，我也很无奈啊

然后我就去交漏洞了

等会再发表一张如何提交漏洞的 因为我发现社区里貌似并没有啥说漏洞具体怎么提交的 为了让我这种小白方便

提交之后我又去试了试有没有xss啊 还再试了一次支付漏洞

但是 还是以失败告终 因为看不懂啊 抓包之后也看不大懂 就蒙 他后端有验证 必须大于0