渗透测试某高校全程纪录

5.28

浏览该网站发现是ASP的,先随便找了个链接测试是否存在注入----------失败

于是又通过其他方式进行注入,均以失败告终.看来网站对注入进行了严格过滤(注入漏洞以失败告终)

5.29

用httpdebug发现该网站存在个src=/eweb/..，难道？？？嘿嘿，直接打入

 

http://www.ｘｘｘｘｘｘ.com/admin/eweb/admin_login.asp

这就好办了，直接尝试默认用户名和密码，ａｄｍｉｎ．ａｄｍｉｎ８８，郁闷的是看来密码和用户被修改

直接下载数据库，ＭＤ５破解，用户名ｌｅｉｘｕｎ，密码不能发现

晕倒。。。。。

 

5.30

下载数据库后,一直破解不了OA用户密码,今天发现了OA系统类型,也算有点进步,正在下载OA系统,测试结果明天发布.

 

6.01

研究发现该OA类型，发现该OA系统加密方式为DES。不好破解阿.

 

6.2

发现系统CMS似乎和雷迅由关,难道是雷迅帮建的?