1.jpg (15.31 KB, 下载次数: 0)
下载附件
保存到相册
半小时前 上传
后台管理员页面的url,我只是随手一试,竟然打开了
然后我猜是php的,输入index.php,也猜对了。
管理员登录竟然不设验证码
下面就是暴力破解了。
首先,F12抓包,然后写个post工具,弄个爆破密码本,轮番测试。
密码本等回家用python生成一个,所以先手动测试
帐号盲猜是admin,竟然又猜对了
====
这还只是手动抓的,如果用软件批量扫描网站的建站系统,
那些缺乏维护的cms建站系统就是很好的靶子。
我突然明白以前上班的公司网站为啥经常被挂马
一款老掉牙的c#开发的cms建站系统。
