【漏洞复现】停车场后台管理系统 ToLogin 弱口令漏洞复现

已于 2024-08-17 12:47:23 修改
阅读量416 收藏 3
点赞数 14
分类专栏: 漏洞复现 文章标签: 安全
于 2024-08-17 12:39:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45790890/article/details/141278835
版权

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢!

1 产品简介


停车场后台管理系统是一种专为停车场管理者设计的综合管理平台,旨在提供全面、高效、智能的停车场运营管理解决方案,系统利用现代信息技术,如物联网、大数据、云计算等,实现对停车场内车辆进出、车位管理、费用结算、安全监控等各个环节的自动化、智能化管理。该系统能够显著提升停车场的管理效率,降低运营成本,并为车主提供更加便捷、舒适的停车体验

2 漏洞概述

停车场后台管理系统 ToLogin 存在弱口令漏洞,未经身份验证的远程攻击者除了可以利用弱口令漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

3 复现环境

FOFA:icon_hash="938984120"

 

 4 漏洞复现

admin/123456

 

天官赐福万无禁忌
关注
专栏目录
漏洞复现】若依系统默认弱口令漏洞
晚风不及你
02-26 1433
若依系统(RuoYi)是一套基于SpringBoot的权限管理系统,核心技术采用Spring、MyBatis、Shiro,众多政府、企业采用它作为某些系统的权限管理后台,使用率较高。
漏洞复现】大华DSS数字监控系统配置系统后台弱口令漏洞
晚风不及你
03-08 1465
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
Tomcat后台管理漏洞复现(弱口令+上传webshell)_tomcat文件上传漏洞复现
2401_86950428的博客
09-08 1857
``可见,用户tomcat拥有上述所有权限,密码是tomcat。正常安装的情况下,tomcat8中默认没有任何用户,且manager页面只允许本地IP访问。只有管理员手工修改了这些属性的情况下,才可以进行攻击。
Tomcat后台管理漏洞复现(弱口令+上传webshell)
weixin_51198941的博客
09-08 3116
Tomcat有一个管理后台,其用户名和密码在Tomcat安装目录下的conf omcat-users.xml文件中配置,不少管理员为了方便,经常采用弱口令。Tomcat 支持在后台部署war包,可以直接将webshell部署到web目录下,如果tomcat后台管理用户存在弱口令,这很容易被利用上传webshell。在可见,用户tomcat拥有上述所有权限,密码是tomcat。正常安装的情况下,tomcat8中默认没有任何用户,且manager页面只允许本地IP访问。
8、弱口令漏洞复现
sigali的博客
03-17 1193
8、弱口令漏洞复现 弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的互联网账号受到他人控制,因此不推荐用户使用。 我们使用DVWA靶场进行测试。 安全等级:LOW 在Brute Force模块进行测试弱口令: 用户名和密码随便填写一个,然后使用burp抓包。,然后发送到Intruder模块。 进入到
漏洞复现】若依系统Druid默认弱口令漏洞
晚风不及你
02-26 3392
若依系统(RuoYi)是一套基于SpringBoot的权限管理系统,核心技术采用Spring、MyBatis、Shiro,众多政府、企业采用它作为某些系统的权限管理后台,使用率较高。
Tomcat+弱口令&后台Getshell漏洞复现
weixin_60329395的博客
08-03 1226
漏洞影响范围:Tomcat 8.0版本、漏洞类型:弱口令、任意文件上传、漏洞成因:在tomcat8环境下,默认的后台密码为tomcat:tomcat,未修改默认密码就会造成未经授权的后台访问。后台存在war包绕过
Tomcat8 + 弱口令 && 后台getshell 漏洞复现
Jerry____的博客
12-04 1790
一:搭建环境 1、进入相关漏洞目录下 cd /vulhub/tomcat/tomcat8 2、一键安装环境 docker-compose up -d 二:漏洞利用 1、打开http://your-ip:8080/manager/html,输入弱密码tomcat:tomcat。 2、制作木马文件,首先准备一个ma.jsp木马,压缩成ma.zip,再修改后缀名为ma.war。 ma.jsp &lt...
漏洞复现】Sentinel Dashboard默认弱口令漏洞
晚风不及你
01-15 1562
Sentinel Dashboard是一个轻量级的开源控制台,提供机器发现以及健康情况管理、监控、规则管理和推送的功能。它还提供了详细的被保护资源的实际访问统计情况,以及为不同服务配置的限流规则。
Spring Boot视频网站:安全与可扩展性设计
2401_85702623的博客
10-16 1001
本次程序开发选用的数据库管理工具是MySQL数据管理工具,使用它存放数据也需要创建程序对应的数据库文件,并命名刚创建的数据库文件,有了数据库也需要创建各种数据表来充实数据库,在数据表的创建中,不仅需要对数据表命名,也需要对数据表的字段进行设计,包括每个数据表里面需要设置的字段名称,字段对应的数据类型信息,字段的主键设置这个也是不可缺少的,因为每个数据表里面的主键就是标记着这个数据表跟其他数据表相区分的唯一标志。addtime timestamp 否 CURRENT_TIMESTAMP 创建时间。
CTFHUB技能树之HTTP协议——响应包源代码
weixin_73049307的博客
10-13 605
点击“开始”没有抓取到报文,先看看网页源代码是什么情况。居然直接给出flag了,不知道这题的意义何在。是个贪吃蛇小游戏,看不出来有什么特别的地方。
Gin框架操作指南08:日志与安全
技术卷的博客
10-16 953
本节演示日志与安全相关的API,包括定义路由日志的格式;如何记录日志;安全页眉;使用BasicAuth中间件;使用HTTP方法。
红日安全vulnstack (一)
saber的博客
10-16 1241
红日靶场从0-1教程,参考大量文章复现而来 有踩过的坑也有真正拿下权限的时候,有失有得这才是渗透嘛
【分布式微服务云原生】《虚拟服务器之暗面:性能损耗、噪音邻居与安全隐私挑战全解析》
Dylaniou的博客
10-13 1152
本文深入探讨虚拟服务器在带来诸多便利的同时,所面临的性能损耗、噪音邻居以及安全隐私问题。读者将全面了解这些问题的具体表现、产生原因以及应对措施,从而更好地管理和使用虚拟服务器,提升其性能与安全性。
如何给SaaS应用做安全
HoewDec的博客
10-16 553
SaaS(软件即服务)应用在过去几年中得到了迅速发展。截至2023年,全球已有超过30,000家SaaS初创公司。SaaS应用程序已成为无数行业在线业务的重要组成部分和首要选择。凭借着简化的流程,便捷的交付和可扩展性,越来越多的应用数据和业务逻辑已从本地被迁移到了SaaS云端环境中。然而,SaaS应用的增长与普及也自然成为了无数网络威胁与攻击的诱人目标。面对各种安全挑战,SaaS应用供应商和使用方需要通过全方位的安全措施与测试来积极分析与应对。
常见的内网渗透思路及方法(包含示例)
xixixi7777的博客
10-11 1189
内网渗透是指在企业或组织的内部网络中进行安全测试,以发现和利用网络中的安全漏洞
物理安全概述
最新发布
山兔的博客
10-19 731
所以我们的国家在强调国产化,两个原因,第一个原因,不要被美国卡脖子,第二个,始终用英特尔、amb、高通,不安全,他的整个生命周期在前面这些过程是不受我们控制的,人家设计的里面有什么硬件木马,我们是很难发现的,或者发现了之后,你也没辙,人家搞的东西,人家的硬件底层已经封装好了,你不可能去做改变的,所以第一个硬件木马,就是国产化的一个底层原因;即使停电之后,我的UPS能马上接管过来,就能够防止我们机房的这种设备在一瞬间断电,一瞬间断电之后容易烧坏里边的一些电容、电阻,从而把设备给干挂了,所以电源你要做到保护。
赏金猎人 | 挖掘TP-Link 服务中的信息泄露漏洞
zkaq7777777的博客
10-15 774
作为一名专注于安全研究的人员,我经常利用空闲时间探索漏洞奖励计划的世界。尽管传统平台提供了不少有价值的机会,我也会将调查扩展到一些知名厂商的公开系统上。最近,我在一个 TP-Link 的子域上发现了一个重大安全问题,该漏洞暴露了包含明文密码的敏感用户信息。img在问题上报给 TP-Link 后,适当的安全措施已在发布前采取。以下所有信息均已适当处理,以维护保密性并遵守道德标准。
tomcat弱口令登入后台漏洞复现
07-13
Tomcat弱口令漏洞通常指的是服务器未正确配置导致管理员账户使用了默认或过于简单的密码,容易被攻击者利用来进行未经授权的访问。复现这种漏洞通常需要以下步骤: 1. **查找漏洞信息**:首先确认该Tomcat版本是否存在已知的弱口令漏洞,这通常可以在安全公告、官方文档或漏洞数据库(如CVE)中找到。 2. **目标环境设置**:确定你的目标Tomcat服务器的IP地址、端口号以及默认管理界面路径(通常是`http://<ip>:8080/manager/html`),同时检查用户名和密码是否可以用默认值(如admin或空白)尝试登录。 3. **尝试登录**:使用工具(如burp suite、nmap等)或直接浏览器输入上述信息进行登录,如果使用的是默认或弱密码,可能会成功登录。 4. **验证漏洞**:登录后查看权限,如能够修改配置文件或管理系统,就说明可能存在弱口令漏洞。 5. **修复措施**:一旦确认漏洞存在,应立即更改管理员密码,并确保设置复杂的密码策略,禁用默认用户,或者安装安全补丁以防止此类漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值