靶场:
https://www.mozhe.cn/bug/detail/Yy9vUVVqcWNmWEpKdFh4dTFheHVZdz09bW96aGUmozhe
背景介绍
安全工程师"墨者"的朋友搭建一个emlog个人博客系统,为了确保该系统的安全性,请你检测该系统是否存在安全漏洞。
实训目标
1、了解验证码绕过的相关知识;
2、了解后台地址扫描及其他相关漏洞资料;
3、了解后台常用账户密码的利用方式;
解题方向
进入后台,找到后台中可利用的地方getshell;
解题思路:
1、使用Kali自带的工具gobuster扫描网站后台目录,如图/servlets为后台目录
2、用户名输入mozhe777,密码随意输入,输入正确的验证码,BurpSuite开启拦截,导入字典,这里使用的是弱密码top1000,爆破出口令为qwer1234
3、成功登录后