某天晚上月黑风高,和志强打完电话后志强准备导一导就睡觉了
我找了一个小破网站看了下
开局扫扫扫
70个端口必能出洞
挑选幸运系统
ok阿是登录框众所周知我之会挖弱口令
admin/admin
直接登陆成功
后台部分功能点
看了一下系统管理中心
操作员管理功能点
一眼就看到了后端明文传输
果然不出所料
开始测试未授权
删除包内所以鉴权参数
我直直直直直直直直直直直直直直直直直直直直直直直直直直直直直直直直接发包测试(图中的xr头已删除因为删除后测试的没截图拿下面这个代替一下)
也是直接读取成功好吧
去找别的相似网站测试未授权管理员账户密码读取
我™直直直直直直直直直直直直直直直直直直直直直直直直直直直直直直直直接开测!
oooooooooooooooooooooooooooooooooooooooooooooook呀兄弟们!也是直接读取成功了好吧。
好啦水文到此为止,其实前台一个页面还有一个洞只不过只能读用户信息
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
![[投稿]某公众号花钱的文章,研究了100多个SSRF报告,进去一看是我之前看过的这里给大家分享一下-棉花糖会员站](https://oss.bdziyi.com/vip/2024/04/20240401170910125.jpg)
请登录后查看评论内容