利用漏洞django-cve_2019_14234。

靶机地址:http://110.40.154.100:8000

1、在浏览器进入 靶机地址

8a1c758f3d334fed9e7f66d0ea95ff01.png

2、在网站后边输入 authenticate 进行用户验证

Django 提供的函数 authenticate  用于处理登录账户的验证是否存在

95295fd37db94a3885ca59074d427578.png

这时返回一个用户名 admin ,然后在网址后输入 admin进入登陆界面,输入用户名admin,密码随便输入一个,然后打开 代理,进入burpsuite,进行抓包

a996d651330345f5ad07b78b6017c158.png

 

3、抓包完之后在将 内容发送到 Intruder模块下的Positions,将自动添加的变量取消,设置密码为变量名

b2cde41f77464113b35f0c41e79a7489.png

4、然后进入到 Intruder 模式下的 Payloads ,添加爆破字典 然后点击右上角 Startattack ,开始进行密码爆破

65430f83d6704ad2ab800f067c7475af.png

 5、密码爆破完然后看每个密码的字段,在这里可以看到 a123123123 的长度与其他的密码长度不一样,所以 a123123123 为密码

e4dd312b84e1466b9062d74221ed1d90.png

 6、接着将代理关闭,回到我们的网站登录页面 直接输入用户密码进入主页面

6670bc2fec994cb9ac9e8cc6b287aa6a.png

 最后我们可以进行 添加用户以及添加组等操作

274244719ff6452cb3cfedcb51d8795f.png

 添加组成功。

最后添加自己的用户名watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAamhmMjAwMzA2,size_20,color_FFFFFF,t_70,g_se,x_16

 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值