网站地图    收藏   

主页 > 后端 > 网站安全 >

暴力破解phpcms演示系统admin用户密码 - 网站安全

来源:自学PHP网    时间:2015-04-16 23:15 作者: 阅读:

[导读] phpcms演示系统admin用户密码可以暴力破解(正式系统未测试)1 登陆phpcms官方网站http: www phpcms cn 2 点击产品演示进入产品演示系统3 点击登陆进入演示系统登陆页面4 点击密码找回5 点击通...

phpcms演示系统admin用户密码可以暴力破解(正式系统未测试)

1.登陆phpcms官方网站http://www.phpcms.cn/

 

1.jpg



2.点击“产品演示”进入产品演示系统
 

2.jpg



3.点击“登陆”进入演示系统登陆页面
 

3.jpg



4.点击“密码找回”
 

4.jpg



5.点击“通过用户名找回密码”后的“立即找回”按钮
 

5.jpg



6.在用户名总输入admin,填好验证码,点击“提交”
 

6.jpg



7.我们看到了什么,邮箱校验码为6为数字,这是可以爆破的节奏,请上我们的大杀器burpsuite爆破吧
 

7.jpg


 

8.jpg



由于网站没有对ip和时间限制,破解出验证码只是时间问题,就不继续等待了。(可以多用几台电脑,同时将线程设置的高一些,缩短破解时间)



不知道正式系统有没有改问题,未搭建测试环境,没有进行测试。

漏洞证明:


1.登陆phpcms官方网站http://www.phpcms.cn/
 

1.jpg



2.点击“产品演示”进入产品演示系统
 

2.jpg



3.点击“登陆”进入演示系统登陆页面
 

3.jpg



4.点击“密码找回”
 

4.jpg



5.点击“通过用户名找回密码”后的“立即找回”按钮
 

5.jpg



6.在用户名总输入admin,填好验证码,点击“提交”
 

6.jpg



7.我们看到了什么,邮箱校验码为6为数字,这是可以爆破的节奏,请上我们的大杀器burpsuite爆破吧
 

7.jpg


 

8.jpg



由于网站没有对ip和时间限制,破解出验证码只是时间问题,就不继续等待了。(可以多用几台电脑,同时将线程设置的高一些,缩短破解时间)



不知道正式系统有没有改问题,未搭建测试环境,没有进行测试。

修复方案:

1.加验证码

2.加ip和时间限制

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论