您的位置 首页 网络安全

记edu.src弱口令检测大师的一次捡漏

前言 难得周末休息,最近追的《赘婿》第一季也大结局了,打开微信想着去群里吹吹水,突然一条向雷锋同志学习的倡议书…

前言

难得周末休息,最近追的《赘婿》第一季也大结局了,打开微信想着去群里吹吹水,突然一条向雷锋同志学习的倡议书吸引了我,抱着学习的态度,点开瞅瞅257e52f37d0d096b32b412c504930dae-2

学完之后不过瘾,点开公众号想着发掘更多的资料,定睛一看XXXX教育局,最近在刷edu.src,既然来了那就看看。

13c44fce984fc87e49a2da5aee139416

信息收集

公众号内发现智慧教育云平台的链接,点进去瞅瞅。

dd1822b50de315478c7d665435cdc3a8

教育云平台,我的最爱~

a92d412d4f527ba6aa108083f791c3dc常用账户和口令试了几次,admin不存在,密码也不正确,edu.src弱口令检测大师的泪水不禁从眼角滑落

cf654af5a11e118d36759b91d7aaa62b

放在云悉上看了一下800cf9638fa0e55f3527172725bb6f52

访问了下开放的其它端口,难搞。。。

19b4f18a80d7be098978751940fd4c17

不出意外,ssh登录异常

59cab2e59c57edb0f32f76e7ae8986a4

正式做菜

拖出去扫扫目录,有意外发现

61fe406b66baa72c35a39c278463f607

直接一手未授权访问,貌似没什么实际功能

7a3f68c2eb0669b9c925d04bf667b77c

发现管理员手机号

0b78feeba8b9bb93d2e23508ddbc7d6b

忘记密码处,尝试找回,用户存在6629f1b1868e5d3adb8949d75ec9a0e3

9678ef6a7e541857175a84bc4dbd42f3

将绑定的手机号修改为自己的,能够接收验证码并通过验证,成功修改密码

6c7a76f6c47c96c2258f514467cbcd2b

通过修改的密码成功登录,单点登录,香的一批

6a7490172cde8db8807146b1bbc178e3

开放平台63141bdb3e04373c543be5d6e9758301

数据库信息

a3057fc951518a6b0406c6c0bb74c29d传统功夫讲究点到为止

de0af0f45c2ac2d285f571f2e697ddf5

本文来自网络,不代表F12sec立场,转载请注明出处:http://www.0dayhack.net/index.php/921/

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

CAPTCHAis initialing...

评论列表(6)

联系我们

联系我们

QQ群:884338047

在线咨询: QQ交谈

邮箱: 2676666667@qq.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部