某平台后存在弱口令可直接爆破登录后台

  • A+
所属分类:安全文章

点击蓝字 ·  关注我们

01

漏洞标题

某平台后存在弱口令可直接爆破登录后台。

02

漏洞类型

弱口令。

03

漏洞等级

高危。

04

漏洞地址

http://xxxx.xx.xx:8809/Home/Admin

05

漏洞复现


0x01

某信息化平台 后台可以爆破账户密码

http://xx.xx.xx:8808/Login/SSOIndexBackURL=http://xxx.xx.xx/Home/AdminPretty

弱口令  test01  888888。

某平台后存在弱口令可直接爆破登录后台

后台系统弱口令可直接登录  test01  888888。


某平台后存在弱口令可直接爆破登录后台

某平台后存在弱口令可直接爆破登录后台


0x02

爆破过程:

因为登录处没有验证码,可直接爆破账户密码,所以登录处直接burp抓包。

http://xx.xxx/Login/CheckLoginSSO

POST数据:

username=test&password=098f6bcd4621d373cade4e832627b4f6&verifycode=&autologin=1

当用户名不存在时的提示:

某平台后存在弱口令可直接爆破登录后台


用户名存在的时候提示:

某平台后存在弱口令可直接爆破登录后台


0x03

然后根据爆破出的用户再爆破密码:


某平台后存在弱口令可直接爆破登录后台

直接爆破处密码为 888888。

06

漏洞危害

弱口令直接登录系统,可直接操作后台数据。

07

建议措施

健全密码管理,采用强密码,删除测试账户。


PS:本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负


EDI安全

某平台后存在弱口令可直接爆破登录后台

扫二维码|关注我们

一个专注渗透实战经验分享的公众号


本文始发于微信公众号(EDI安全):某平台后存在弱口令可直接爆破登录后台

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: