登陆弱口令>>Fuzz技巧

admin 2023年1月26日10:36:09安全文章评论15 views462字阅读1分32秒阅读模式

今天心情很好,再来写一篇.  谈一些登陆弱口令fuzz的技巧,说不上很有技术,但挖了不少。

选中的案例来源去年11月份,具体挖洞过程参考

https://mp.weixin.qq.com/s/rGI1iXcfPBcD3Xmf0OHAMA

群里某位大师傅挖的,但他不够细,,不知道账号怎么来,说下这套系统,系统有两个排序注入,一个任意密码重置,一切的一切,只需要一个账号,一个普通账号。

一套系统其实有多种登陆方式,可以通过用户名登陆、手机号登陆、二维码登陆。所以,黑盒测试的时候单纯的top500测试说白了是很肤浅的!

  管理员账号可以是手机号也可以是用户名,也可以是系统序号, 也可以是一些测试账号,所以基于这几点做成的字典,

  1. top500

  2. top500中文名

  3. top50管理员

  4. top50管理员中文名

  5. top20测试手机号

  6. top100序号(1-20,100-120,1000-1100,11000-12000)


密码就是简单的123456、或者序号本身,黑盒字典的用途,

登陆弱口令>>Fuzz技巧

登陆弱口令>>Fuzz技巧
























原文始发于微信公众号(Qaseem安全团队):登陆弱口令>>Fuzz技巧

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月26日10:36:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  登陆弱口令>>Fuzz技巧 http://cn-sec.com/archives/1525832.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: