首页 » 网站攻防 » 浏览内容

MetInfo4.0任意用户密码修改(包括管理员)漏洞

2233 7 发表评论

简要描述:

MetInfo4.0注册会员后,可以修改任意用户和管理员密码,影响巨大

百度或者谷歌里可以找到上千用MetInfo4.0的企业站,危害特别严重!

 

详细说明:

百度搜索随便就一大堆,此前没有看到过这个版本的漏洞导致很多人还在继续用4.0版本

 

20150615214313

漏洞页面:member/save.php  注册页面:/member/  默认后台:/admin

先注册一个用户然后登录后点击修改基本资料

20150615221524

填写好修改的密码后打开抓包工具进行抓包这里我使用Burp Suite

如果没有的朋友可以去博客前面的文章下载《渗透测试神器Burp Suite v1.6.17破解版下载

先用火狐设置下http代理  IP为本地:127.0.0.1 端口要和Burp Suite的端口一样 都是8080

默认的Burp Suite监听端口都是8080的

QQ截图20150615222121

设置好后点击添加信息即可看到如下内容

20150615221939

 

现在要做的就是修改包的内容 将

QQ截图20150615222607

点击intercept is on 即可!发送出去 ,如果在网页中提示如下即修改密码成功

QQ截图20150615222815

修改就可以使用刚才修改的密码登录admin管理员帐号了

QQ截图20150615222949

声明:请勿用于非法用途,否则后果自负. 转载请注明:小残博客

标签:

评论 共 7 条 (RSS 2.0) 发表 评论

  1. 会员头像 teddy说道:

    后台用户名大多被修改了,如果admin存在 随便输入一个密码会提示密码错误。如果admin不存在 会提示用户名不存在。 如果admin不存在 试试域名 我测试几个后台管理账号是域名的

  2. 会员头像 123说道:

    全是 用户名不存在 确实是 4.0版本的啊

  3. 会员头像 ?说道:

    这个怎么拿shell?

  4. 会员头像 往里插说道:

    全部是用户名不存在,是改过了还是默认的不是admin?

发表评论

  •   没有头像?

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥伙伴们喜欢本站赏个好评呗

关注微信

有偿服务

博客统计

  • 日志总数:475 篇
  • 评论数目:1466 条
  • 标签总数:40 个
  • 页面总数:8 个
  • 分类总数:17 个
  • 友链总数:24 个
  • 建站日期:2011-02-13
  • 运行天数:2120 天
  • 最后更新:2016-12-3

订阅博客