phpcms演示系统admin用户密码可以暴力破解(正式系统未测试)
1.登陆phpcms官方网站http://www.phpcms.cn/
2.点击[产品演示]进入产品演示系统
3.点击[登陆]进入演示系统登陆页面
4.点击[密码找回]
5.点击[通过用户名找回密码]后的[立即找回]按钮
6.在用户名总输入admin,填好验证码,点击[提交]
7.我们看到了什么,邮箱校验码为6为数字,这是可以爆破的节奏,请上我们的大杀器burpsuite爆破吧
由于网站没有对ip和时间限制,破解出验证码只是时间问题,就不继续等待了。(可以多用几台电脑,同时将线程设置的高一些,缩短破解时间) 不知道正式系统有没有改问题,未搭建测试环境,没有进行测试。
漏洞 证明:1.登陆phpcms官方网站http://www.phpcms.cn/
2.点击[产品演示]进入产品演示系统
3.点击[登陆]进入演示系统登陆页面
4.点击[密码找回]
5.点击[通过用户名找回密码]后的[立即找回]按钮
6.在用户名总输入admin,填好验证码,点击[提交]
7.我们看到了什么,邮箱校验码为6为数字,这是可以爆破的节奏,请上我们的大杀器burpsuite爆破吧
由于网站没有对ip和时间限制, 破解 出验证码只是时间问题,就不继续等待了。(可以多用几台电脑,同时将线程设置的高一些,缩短破解时间) 不知道正式 系统 有没有改问题,未搭建测试环境,没有进行测试。
修复方案:1.加验证码 2.加ip和时间限制
查看更多关于暴力破解phpcms演示系统admin用户密码 - 网站安全的详细内容...