又找到个网站挖洞,我来康康。
大米手机是个什么鬼手机??看一下吧
这个支付页面好熟悉,可能存在支付逻辑漏洞,咱们用burp改个包看看。
先支付一个看看
把包里那个=1改成0试试~
证实确实存在支付逻辑漏洞
前面应该只是一个小插曲,这里的任务是爆破管理员后台。我尝试/admin登陆,发现没有这个地址。
然后我就拿御剑浅浅扫一下吧。
御剑扫不出来,这个是看别人的地址摸索出来的
然后就用burp尝试爆破一下吧
在账户和密码添加爆破模块,验证码好像不变,就不用更改
然后看结果有俩结果和其他的好像不一样啊
试一下,账号密码zkaq卧槽
这就进来了…….
![[漏洞复现] [Vulhub靶机] Struts2-045 Remote Code Execution Vulnerablity(CVE-2017-5638)](https://www.kunjuke.com/file/css/thumb/8.jpg/280-180.jpg)
