漏洞挖掘一——一场弱口令引发的血案

在大体了解过信息搜集的流程后，我们开始上网寻找一个简单的网站准备进行信息搜集，为了方便，我倾向于找一些比较边缘的网站，随意的找到了一个影楼的网站准备进行信息搜集，没想到，却有了意外收获

首先我本准备用子域名查询网站搜集一波可用的子域名，果不其然出现了一个 admin.xxx.com ，这个并没能爆破出来，我们暂且按下不提，但是竟然还有这么一个 jxc.xxx.com，打开一看，是进销存管理系统。

看起来跟管理后台没啥区别啊，正准备习惯性的随便试几个然后用Burp爆破一下，万万没想到，随手输了一个admin 123456就轻而易举的进去了，此前的过程中我曾遇到过用户名密码同为123的测试账号，进去了也没什么用，但是这个，很显然并不是什么测试用的账号。。。

superadmin 没错，是超级管理员。

同时我看到了上传附件，果断开始寻找网站是怎么写的，准备上传个一句话马看一看。

当我上传了一个jsp文件时，我发现我找不到它上传的路径了，抓包无法找到其上传后储存的路径。这就很苦恼了 。但是，毕竟我有着管理员的权限，便开始四处找上传文件的链接，果不其然，真的有！

这里上传别的文件也是可以的，但是会被封掉IP，jsp文件还是不会拦截的，当我兴冲冲的点开时。。。变成了这副模样


当我访问jsp文件的时候服务端会把我的请求直接转到127.0.0.1，而且通过试验不只是针对jsp文件，其他格式的上传文件也会无法打开，通过抓包发现不是重定向，因此虽然存在任意文件上传的漏洞，但是以我目前的水平估计是没办法去继续往下搞了，且看用管理员的身份可以做些什么吧。

对数据的操作我就不一一赘述了，本来我发现超级管理员的密码是无法更改的，后来，我找到了这个


权限地址这一栏是可以不填写的，而且如果不填写这个路径是很难猜出来的，我想也同样很难记住，所以管理员保留了这个地址，这个防御机制也就形同虚设了。
除此之外，还有更有趣的信息泄露出来。

这里的用户名，有没有可能是刚才未能破解开的 admin.xxx.com 的用户名呢

随便尝试一个后发现 提示我账户已锁定，那就是用户名有效，有戏！经过尝试后，第三个ID的密码又双叒叕是123456，成功进入了这家影楼的后台管理系统。

这样，我自然要试一下admin的密码是不是还是弱口令，结果并不是，看来运气并非一直站在我身边。

那就先看看这个权限下能有什么吧

客户的个人信息还是很敏感的，此外还有工作人员的个人信息也一样清晰可见，除此之外，还有一个让我始料不及的信息泄露点，其实刚才在上面的图已经显示出来了，不知道你们注意到没有。

账号和初始密码都给了出来，自然是要试试的。

事实证明，存在不止一个账户还在使用初始密码。

第一次挖洞至此圆满结束。实际上即使只是拿一个后台的权限无法对服务器产生影响也能对目标公司造成不可估量的经济损失，测试过程中我能明显感觉到网站的防御机制很成熟，但是再强大的防御也抵不住123456这一弱口令的放水（手动狗头），因此，希望大家平时引以为戒，避免使用弱口令密码。