实战渗透--一次对后台登录系统的简单渗透测试

某网站后台登录界面 发现有验证码框 猜想会不会存在验证码绕过的漏洞

首先随意输入用户名密码(用于抓包)

打开burp抓包 分析数据包后 找到对应的传参点 即输入的账号密码还有验证码

这里可以看到 账号和密码全都是明文传输 并没有进行加密 所以更改起来还是很容易的

把包发送至repeater 进行放包测试

先修改一下账号密码  然后放包

查看一下回显

报错信息提示了密码错误

修改一下用户名和密码 再次放包

 用户名和密码均由admin改为adm

放包 查看回显结果

注意看 这时候报错信息提示账号错误 由此说明刚刚进行测试的admin账号是存在的

改回账号 再次修改密码 密码改为1111   放包查看回显结果

果然 这回报错的信息是密码错误

再修改一下验证码 看看是否能绕过

验证码由2522改为2523

报错信息提示验证码错误   此时改回验证码 改为2522

  放包查看结果

此时报错信息变为密码错误

很明显此处的验证码只是在前端生成 所以可以绕过

既然验证码形同虚设 顺带想到了能否暴力破解进入后台

尝试一下是否有弱口令登录 暴力破解一下

设置爆破选区

字典设置好后直接跑

爆破出了密码 拿去登录一下

成功以管理员权限进入后台

后续还在后台中找到了文件上传点  猜测可以利用文件上传漏洞拿下服务器权限  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/21777.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

网络渗透测试

1.5指纹识别 指纹由于其终身不变性唯一性和方便性 ,几乎已成为生物特征识别的代名词.通常我们说的指纹就是人的手指末端正面皮肤凹凸不平纹线,纹线规律的排列形成不同纹型。 内容 1.6查找真实IP 在渗透测试过程中,目标服务器可能只有一个域名。 1…

渗透安全测试

渗透安全测试 PTES(渗透测试执行标准),渗透测试的过程包括交互,信息收集建模,Vul-可行性分析,开发,后期开发等。渗透测试旨在提高系统的安全性,而不是为了破坏,不会影响…

【渗透测试基础】越权攻击讲解

01 什么是越权 越权,是攻击者在获得低权限账号后,利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查中,这类漏洞很难通过工具进行自动化检测,因此危害很大。越权有两种类型&am…

渗透测试工具

前言 本篇文章总结了很好用的渗透测试工具,会不断更新!!! 供大家学习使用!!! 正文 01 信息收集 1.1 dirsearch 1.1.1介绍: 类似御剑扫描的一款网站目录扫描器,由pyt…

PentestGPT:一款由ChatGPT驱动的强大渗透测试工具

关于PentestGPT PentestGPT是一款由ChatGPT驱动的强大渗透测试工具,该工具旨在实现渗透测试任务执行过程的自动化。该工具基于ChatGPT实现其功能,允许广大研究人员以交互式的方式使用,并指导渗透测试人员进行渗透测试任务的总体进度调控并执行指定操作。 除此之外,Pentes…

利用ChatGPT进行内网域渗透学习

ChatGPT可以直接模拟在域内环境中的命令执行结果 1、查看共享 2、定位域控

考研政治考题分布、单选多选技巧Keywords、大题点默析

文章目录 一、考题分布(一) 选择33道 (16道单选,17道多选:16117250分)(二) 大题5道 (51050分) 二、选择技巧、选择题规律Keywords选择题规律 三、大题点默析结构 一、考题分布 (一) 选择33道 (16道单选,17道多选:16117250分) 1-4:马原4道单…

chatgpt-4它的未来是什么?该如何应用起来?

在当今快节奏的数字通信世界中,ChatGPT已成为一个强大的在线聊天平台,改变了人们互动和沟通的方式。凭借其先进的AI功能、用户友好的界面和创新技术,ChatGPT已成为个人和企业的热门选择。 然而,ChatGPT的未来有望更加激动人心和具…

万字干货!ChatGPT 从零完全上手实操指南!【二】

2.调教 GPT之奖惩指令 其实这个所谓“奖惩指令(有监督学习)”的作用和调教原理很好理解,它就像是我们教育孩子一样。 如果你希望孩子达到你理想的行为标准,那么你就需要对他进行教育,如果孩子做得好,我们就…

分享一些程序员接私活、兼职的平台

跟大家分享一下如何判断一个外包项目是否靠谱,有哪些接项目的渠道,以及其他接私活的经验。 判断项目是否靠谱,上来不说需求没有文档直接问你多少需要多少钱,说话不靠谱,可能就是打听价的,这样的项目无需太…

chatgpt赋能python:Python如何成为一名兼职SEO?

Python如何成为一名兼职SEO? 简介 SEO,即搜索引擎优化,是一种很有前途的职业。随着互联网的发展,越来越多的公司意识到网站能为自己带来的价值,从而开始注重SEO。如果你想在这个领域探索机会,那么Python就…

【大虎与二狗】预算减半KPI不变,你该怎么办?

“哎呀,今天又没抢到,名额太少了,下次你们帮我一起哈”。 不需要抬头看,陈虎就知道说话的是楠楠。作为部门里自诩的“文青“,楠楠最爱的就是穷游,而最近每天10点她都会守在电脑前抢购某旅游平台“3999五一…

AI绘画大全 Midjourney13000+gpt最新注册+使用教程+关键词描述词 软件+教程

AI绘画大全 Midjourney13000gpt最新注册使用教程关键词描述词 软件教程 AI绘画大全:Midjourneygpt最新注册和使用教程,Midjourney13000AI绘画关键词描述词等(教程软件) ai美术馆-第一周 3.Ai绘图变现渠道 4.Ai生成图 2.30AI绘…

遥感云大数据在灾害、水体与湿地领域典型案例实践及GPT模型

近年来遥感技术得到了突飞猛进的发展,航天、航空、临近空间等多遥感平台不断增加,数据的空间、时间、光谱分辨率不断提高,数据量猛增,遥感数据已经越来越具有大数据特征。遥感大数据的出现为相关研究提供了前所未有的机遇&#xf…

GEE入门学习,遥感云大数据分析、管理与可视化以及在林业应用丨灾害、水体与湿地领域应用丨GPT模型应用

目录 ①海量遥感数据处理与GEE云计算技术实践应用 ②GPT模型支持下的Python-GEE遥感云大数据分析、管理与可视化技术及多领域案例实践应用 ③GEE遥感云大数据林业应用典型案例实践及GPT模型应用 ④遥感云大数据在灾害、水体与湿地领域典型案例实践及GPT模型应用 ①海量遥感…

AI工具在科研领域的应用(全网最全)

编者寄语: AI工具的潮流磅礴而至,诸多应用已从曾经的“玩具”华丽蜕变为实用强大的“工具”,学术界的翘楚们亦纷纷投入其研究和应用。作为追求卓越的科研人员,我们岂能袖手旁观,任凭自己在学术与科研工作中渐行渐远&am…

遥感云大数据在灾害、水体与湿地领域典型案例实践及GPT模型应用

目录 平台及基础开发平台 GEE基础知识与ChatGPT等AI模型交互 重要知识点微型案例串讲与GPT模型交互演示 案例一、洪涝灾害监测 案例二、洪水敏感性和风险模拟 案例三、水体质量监测 案例四、河道轮廓监测 案例五、地下水变化监测 案例六、红树林遥感制图 以Earth Engi…

免费好用的思维导图工具,让你事半功倍

🔅思维导图是一种以图形化的形式展示思维过程和思维关系的工具。它经常用于制定计划🎯、做学习(工作)笔记📝、做手帐🧾等,帮助人们梳理思路,发散思维🙇🏼♀️…

机器人专业讲师与科技的转型思考

2023年以前,编程需要学习各种语法,现在只需要提示词。 未来还需要编程老师吗?需求一定越来越少。 “ Prompting TurtleSim from ChatGPT ” https://github.com/mhubii/chatgpt_turtlesim The demo lets ChatGPT call into ROS services …

AI4S 与 AIGC 时代,云上 Notebook 将如何革新教学与科研体系

随着以 ChatGPT 为代表的 AIGC(AI-Generated Content)技术的极速普及、以及 AI4S(AI for Science)从愿景走向流行,不同领域、不同背景的人们以一种前所未有的方式连接在了一起,共同经历着知识结构、技术体系…