CVE-2022-30887

1. ✍内容

信息收集+密码爆破Pasted image 20240416000414

2. 信息收集

  1. 进来要求登录账户密码,看js代码看过滤Pasted image 20240415234826Pasted image 20240415234834该正则表达式要求邮箱地址的格式为“用户名@域名”,并且中间必须有一@ 符号,并且域名部分需要包含至少一个点号。如果输入的邮箱地址不符合这个格式,浏览器会显示 title 属性中指定的错误消息,提示用户输入一个有效的邮箱地址。
  2. 抓包没有发现登录漏洞
  3. 信息收集,看下默认账户密码
  4. 随便登录一下Pasted image 20240415235226
  5. 信息收集到这个 https://www.yuque.com/jiryu/yz4rcd/tbg9z2
  6. Pasted image 20240416000048
  7. 登录 但是密码错了,经过测试密码是这个Pasted image 20240416000253
  8. 登录后台找一处文件上传的地方Pasted image 20240416000524
  9. 抓包上马,访问图片的地址Pasted image 20240416000956
  10. 蚁剑连接Pasted image 20240416001122

3. 收获

  • 利用信息收集默认账户密码,多观察页面找密码