houmusic 简单说说 首先打开网址45.90.12.31:6566/发现3个用户 admin排除,肯定不好搞,另外两个用字典爆破,工具用的BurpSuite,成功获取到了Tioop用户名的密码为123456.图上的上来了就是我用账号发的帖子。 然后通过查看js发现 const IFR = /^\/(login|register|post|change-password|edit\/\d|messages|u\/(.+))/; 这包含了网站登录注册发帖之类的一些功能,一个个打开尝试了下,发现messages有关键信息。其实没到登录admin账号的时候,我以为是真实用户瞎聊的。。。。。 通过网页打开45.90.12.31:6566/messages发现 盲猜admin的密码是星芒计划+2333年11月。然后我就写了个脚本生成了10000多条字典,后来爆破失败,放弃了。吃完饭想着再试试,发现了只说了失效的年份,然后手动输入了mangxing2333,成功进入admin账号,打开45.90.12.31:6566/messages发现, 然后登录pop账号密码C704608670,打开45.90.12.31:6566/messages发现 其中O开头,ope9不明觉厉。。 感言:我tm一个菜鸟,竟然成功了。不可思议。。最后感谢大佬的1000NL。
