【通用/事件-第1期】弱口令2.0时代-小程序后台通用弱口令
2024-1-3 22:27:25 Author: 渗透安全团队(查看原文) 阅读量:8 收藏

通用/事件态势感知

弱口令2.0

态势:小程序后台批量弱口令

漏洞感知-第1期-小程序弱口令通用

今天我们欢聚,为未来喝彩!

网络安全路上的跳板,你我终将为网络安全尽绵薄之力!

    本文主要内容:

    1、漏洞安全态势感知:小程序后台弱口令

    2、漏洞测试步骤:漏洞点-常见漏洞形式-批量测试

(重点:本文只做技术研究,请遵守相关法律法规,切勿非法测试,所产生的后果需自行承担)

发展态势

账号密码泄露

后台未授权访问

web网站后台弱口令

弱口令字典爆破

后台登录绕过

web-->小程序后台默认密码/弱口令

漏洞测试步骤

第一步:

抓住小程序数据包

第二步:

直接访问主域名

会自动跳转到后台管理界面

第三步:

默认账号密码、弱口令

1、有的小程序后台,账号密码可能都直接在登录窗口上直接登录即可

2、尝试弱口令

个人认为:最常见的小程序弱口令

admin/123456

admin/admin123

(以及test账号)

小插曲:

(插曲过后还有批量步骤)

可能会的情况遇见

无法自动跳转或者出现空白等界面(可能被防护了)

such as

1、this one

403

2、this two

404

3、this three

跳到公司官网

4、this four

其他的功能后台

5、this five

小程序--->网页版

插曲结束

第四步:

使用fofa搜同类型后台界面

(使用关键路径,代码等特征来搜索

上W资产

注:直接搜后台的缺陷是可能是ip,无法反查到域名

(对于类似问题,最好通过后台内数据来确定单位,必须是有效数据,而不能直接后台写几个xxx单位就判断)

第五步:

py脚本+后台资产+弱口令

批量挖掘漏洞

在这场盛宴中。翘首拥抱新一天、新的一洞,愿我们积极奋进,砥砺成长!

不负过往·不畏将来

END

关注我,了解更多漏洞态势!


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247513647&idx=2&sn=afddfc547750a1cbe57d71e0ae4808ae&chksm=c0e36da90211a7dc0f3fa4e3d72c87f21d6d5a7e6246c9d653bc6259f974bcd6a3df3e828ecf&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh