某平台后存在弱口令可直接爆破登录后台

admin
admin
admin
102331
文章
87
评论
2020年11月14日11:30:50评论810 views字数 614阅读2分2秒阅读模式

点击蓝字 ·  关注我们

01

漏洞标题

某平台后存在弱口令可直接爆破登录后台。

02

漏洞类型

弱口令。

03

漏洞等级

高危。

04

漏洞地址

http://xxxx.xx.xx:8809/Home/Admin

05

漏洞复现


0x01

某信息化平台 后台可以爆破账户密码

http://xx.xx.xx:8808/Login/SSOIndexBackURL=http://xxx.xx.xx/Home/AdminPretty

弱口令  test01  888888。

某平台后存在弱口令可直接爆破登录后台

后台系统弱口令可直接登录  test01  888888。


某平台后存在弱口令可直接爆破登录后台

某平台后存在弱口令可直接爆破登录后台


0x02

爆破过程:

因为登录处没有验证码,可直接爆破账户密码,所以登录处直接burp抓包。

http://xx.xxx/Login/CheckLoginSSO

POST数据:

username=test&password=098f6bcd4621d373cade4e832627b4f6&verifycode=&autologin=1

当用户名不存在时的提示:

某平台后存在弱口令可直接爆破登录后台


用户名存在的时候提示:

某平台后存在弱口令可直接爆破登录后台


0x03

然后根据爆破出的用户再爆破密码:


某平台后存在弱口令可直接爆破登录后台

直接爆破处密码为 888888。

06

漏洞危害

弱口令直接登录系统,可直接操作后台数据。

07

建议措施

健全密码管理,采用强密码,删除测试账户。


PS:本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负


EDI安全

某平台后存在弱口令可直接爆破登录后台

扫二维码|关注我们

一个专注渗透实战经验分享的公众号


本文始发于微信公众号(EDI安全):某平台后存在弱口令可直接爆破登录后台

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年11月14日11:30:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某平台后存在弱口令可直接爆破登录后台http://cn-sec.com/archives/157276.html

发表评论

匿名网友 填写信息