通过信息收集进网站后台
记录一次通过简单的信息收集获取账号信息后进入后台的经过。打开思路,利用我们所有能够捕获的信息并串联起来。
0X0 开始:
打开网站发现是一个登录网站
随便输入账号密码,发现有用户名枚举:
0X1 获取icp备案企业:
通过爆破用户名,然后爆破密码始终没有进去,于是开始了进一步信息收集
利用鹰图平台-获取icp备案企业
0X2 通过备案获取姓名:
通过爱企查获取其姓名
0X3 通过姓名获取手机号:
通过抖音ip定位和简介确认用户,并获取用户手机号
0X4 弱口令进后台:
通过获取的手机号为账户爆破密码为123456 进入后台
0X5 总结
1、本网站遇到的问题是找不到账号,除了admin爆破不出来其他常用的用户名。
2、通过鹰图平台获取到该ip所属企业。
3、通过爱企查获取用户姓名。
4、通过抖音搜索,根据ip定位和头像以及简介确认用户。
5、爆破密码,最简单的123456直接进后台…。
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):漏洞挖掘 | 从信息收集到登录后台
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论