方法一
一、根据题意我们需要得到登录网站和账号密码
二、寻找登录网站:
1.尝试SQL注入:
注入失败!!!可能存在WAF过滤,换个注入方法
2.cookie注入:有n 种方法,我用穿山甲工具:
a.点击网站下方任意网址(包含id),复制网站:
b.打开穿山甲,粘贴网址,点击访问,进入界面:
c.打开网页后,删去网址中的id,将id填入下面的注入参数里,注入语句默认,然后点击注入。
d. 出现下面图片表示注入成功,确认:
e.最后点击注入,再i单机访问,即可出现账号密码:
、
3.密码为16为,猜想为MD5,MD5在线解密:
最后得到密码账号:admin welcome
三、寻找登录网址(猜想或工具碰撞):我用御剑碰撞
1.输入主页网址:在桌面新建txt文件,将网站主页网址粘贴到txt里面,御剑点击外部导入域名列表,将刚才的网址导入进来。
2.全部打勾扫描
3.将所有字典都点选
4.开始扫描
5.扫描完成后,发现有一个admin/login.jsp网址,
6.访问确实是一个登录界面,填入刚才的密码账号,登录成功
四、使用工具:
穿山甲和御剑扫描:百度网盘链接:https://pan.baidu.com/s/11PaoMdiYL7MCQbQC2CXknw
提取码:lwxi
MD5在线解码:https://www.somd5.com/