通过社工进网站后台的渗透测试

目录

通过社工进网站后台

0X0 开始:

0X1 获取icp备案企业:

0X2 通过备案获取姓名:

0X3 通过姓名获取手机号:

0X4 弱口令进后台:

0X5 总结


通过社工进网站后台

记录一次通过简单社工获取信息后进入后台的经过。打开思路,利用我们所有能够捕获的信息并串联起来。

0X0 开始:

打开网站发现是一个登录网站

通过社工进网站后台的渗透测试_第1张图片

随便输入账号密码,发现有用户名枚举:

通过社工进网站后台的渗透测试_第2张图片

通过社工进网站后台的渗透测试_第3张图片

0X1 获取icp备案企业:

通过爆破用户名,然后爆破密码始终没有进去,于是开始了社工

利用鹰图平台-获取icp备案企业

通过社工进网站后台的渗透测试_第4张图片

0X2 通过备案获取姓名:

通过爱企查获取其姓名

通过社工进网站后台的渗透测试_第5张图片

0X3 通过姓名获取手机号:

通过抖音ip定位和简介确认用户,并获取用户手机号

通过社工进网站后台的渗透测试_第6张图片

0X4 弱口令进后台:

通过获取的手机号为账户爆破密码为123456 进入后台

通过社工进网站后台的渗透测试_第7张图片

0X5 总结

1、本网站遇到的问题是找不到账号,除了admin爆破不出来其他常用的用户名。

2、通过鹰图平台获取到该ip所属企业。

3、通过爱企查获取用户姓名。

4、通过抖音搜索,根据ip定位和头像以及简介确认用户。

5、爆破密码,最简单的123456直接进后台…。

图片

                                                             没看够~?欢迎关注!

免费领取安全学习资料包!(私聊进群一起学习,共同进步)icon-default.png?t=N7T8https://docs.qq.com/doc/DRGJHbUxpTWR2Y3lq

你可能感兴趣的:(实纪实战,技术干货,渗透测试,web安全,安全)