【复现】litemall商场系统后台弱口令漏洞_47

2024-02-12 22:20

本文主要是介绍【复现】litemall商场系统后台弱口令漏洞_47,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

一.概述

二 .漏洞影响

三.漏洞复现

1. 漏洞一:

四.修复建议:

五. 搜索语法:

六.免责声明


一.概述

litemall是一个简单的商场系统,基于现有的开源项目,重新实现一个完整的前后端项目,包含小程序客户端、移动客户端和网页管理端。

二 .漏洞影响

弱口令漏洞可以登进后台,可能会对功能造成影响,或者对其他功能破坏

三.漏洞复现

1. 漏洞一:

(1)漏洞类型:  弱口令

(2)请求类型:POST

(3)复现

找到相关系统


使用首页的弱口令,成功进入后台


burp请求包

POST /admin/auth/login HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 55
Connection: close{"username":"admin123","password":"admin123","code":""}

四.修复建议:

加强密码强度,及时修改

五. 搜索语法:

1.fofa

title="litemall"

六.免责声明

本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

这篇关于【复现】litemall商场系统后台弱口令漏洞_47的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/703751

相关文章

【前端素材】推荐优质后台管理系统网页Hyper平台模板(附源码)

一、需求分析 1、系统定义 后台管理系统是一种用于管理和控制网站、应用程序或系统的管理界面。它通常被设计用来让网站或应用程序的管理员或运营人员管理内容、用户、数据以及其他相关功能。后台管理系统是一种用于管理网站、应用程序或系统的工具,通常由管理员使用。 2、功能需求 后台管理系统是一种用于管理网站、应用程序或系统的工具,通常由管理员使用。它提供了对系统后端功能的访问权限,允许管理员执行各种

Linux系统中安装redis+redis后台启动+常见相关配置

1、下载Redis Redis官网:https://redis.io/ 历史版本: http://download.redis.io/releases 2、连接Linux(或者VMwear) 我们安装的是linux版本的redis 打开xftp我们需要先将我们的Redis上传到服务器上 解压到这里 解压的指令 mv redis-7.0.5.tar.

读书笔记:《思考 . 快与慢》- 1 系统1 系统2

《思考 . 快与慢》 [美] 丹尼尔 . 卡尼曼 著   胡晓姣 李爱民 何梦莹 译     这本书会改变你的思考方式     利用闲谈发现和分析别人犯的错误比分析自己的错误更容易,也更有意思     在人生最辉煌的时候,我们很难对自己的信念和需求产生怀疑,越是在最需要质疑自己的时候越难做到这一点     提升发现和理解自己在判断和决策上失误的能力     可得性法则:依靠记忆作出判断

【零基础SRC】成为漏洞赏金猎人的第一课:加入玲珑安全漏洞挖掘班。

我们是谁 你是否对漏洞挖掘充满好奇?零基础或有基础但想更进一步?想赚取可观的漏洞赏金让自己有更大的自由度? 那么,不妨了解下我们《玲珑安全团队》。 玲珑安全团队,拥有多名实力讲师,均就职于互联网头部公司以及国内国有企业,并荣获过多次SRC将杯以及网鼎杯各赛事等荣誉。 玲珑安全漏洞挖掘班第一期即将开课,这或许也是你成为漏洞赏金猎人的第一课。 我们的优势 本期讲师均为src

linux系统漏洞补丁包,一探究竟Linux系统下打应用补丁

“大家在工作当中,发现通过软件还是硬件检测到系统漏洞和应用漏洞,前方一大波漏洞袭来,那发现这些漏洞该如何处理,答案:最好的就是打官方补丁包,因为官方会弥补在开发过程中解决的系统bug或者应用软件bug,那如何打补丁包呢?On my way, Movingout!。” 0x01:开始生成测试数据 #cat >>example_01 < /*模拟写入测试数据example_01*/ $A1A1A1A

更改系统补丁服务器的命令,windows服务器卸载补丁命令【转】

1、DISM简介 DISM就是部署映像服务和管理 (DISM.exe) 用于安装、卸载、配置和更新脱机 Windows(R) 映像和脱机 Windows 预安装环境 (Windows PE) 映像中的功能和程序包。 您可以使用部署映像服务和管理 (DISM.exe),为 Windows(R) 映像和 Windows 预安装环境 (Windows PE) 映像脱机安装、卸载、配置和更新功能和程序包

爱心商城|爱心商城系统|基于Springboot的爱心商城系统设计与实现(源码+数据库+文档)

爱心商城系统目录 目录 基于Springboot的爱心商城系统设计与实现 一、前言 二、系统功能设计 三、系统功能设计 1、商品管理 2、捐赠管理 3、公告管理 4、公告类型管理 四、数据库设计 五、核心代码 六、论文参考 七、最新计算机毕设选题推荐 八、源码获取: 博主介绍:✌️大厂码农|毕设布道师,阿里云开发社区乘风者计划专家博主,CSDN平台J

linux mysql 查询数据库字符集_linux系统mysql字符集

一、select高级用法 1.传统连接 世界上小于100人的城市在哪个国家?是用什么语言? #1.分析要哪些内容? 城市的人口数量 城市名字 国家名字 国家语言 #2.分析数据所在库 city.population city.name country.name countrylanguage.language #3.找出三个表相关联内容 city.countrycode country.code

Ubuntu系统下DPDK环境搭建

目录 一.虚拟机配置1.添加一个网卡(桥接模式)2.修改网卡类型3.修改网卡名称4.重启虚拟机5.查看网卡信息6.dpdk配置内存巨型页 三 DPDK源代码下载和编译1.下载源代码2.解压源代码3.安装编译环境4.编译5.设置dpdk的环境变量6.禁止多队列网卡7.加载igb_uio模块8.网卡绑定9.验证测试案例10.运行第一个DPDK程序 一.虚拟机配置 1.添加一个网卡(

(定时器/计数器)中断系统(详解与使用)

讲解 简介 定时器/计数器 定时器实际上也是计数器,只是计数的是固定周期的脉冲 定时和计数只是触发来源不同(时钟信号和外部脉冲)其他方面是一样的。  定时器在单片机内部就像一个小闹钟一样,根据时钟的输出信号,每隔“一秒”,计数单元的数值就增加一,当计数单元数值增加到“设定的闹钟提醒时间”时,计数单元就会向中断系统发出中断申请,产生“响铃提醒”,使程序跳转到中断服务函数中执行。 中断