滲透筆記（一）:信息收集與弱口令的危害！！

大家好在下零安全團隊（zero-security-team）lionhoo，今天給大家分享一個騷思路！

背景故事

一天團隊以小哥哥發出來個站

當時心情不好（未戀先失）就想搞一下!

然後團隊成員一頓操作猛如虎，結果還是沒有挖到漏洞！！！

結果在隊長一頓掃之下找到後台地址！這時已經凌晨一點！！！

這時捋一下成果：敏感目錄：沒有，後台地址：一個，漏洞地址：沒有！！

我tm，，，大半夜的就出來個後台，，，沒辦法了！常規思路：

打開後台試試弱口令 admin admin admin888 admin666 123456.。。。等等。。

結果：

沒進去，，，有點難受，沒有找到漏洞，這可如何是好！

但是注意觀察後台，，，我的天，這是？？

一不小心點了一下，結果出乎意料！

這是typo3cms 作為一個菜到家的小菜雞，是第一次見這個cms然後抑制不住好奇心就百度了一下，

這個意思是說有源碼唄？？那我是不是下載來分析源碼？？？

這個操作是費時費力，那怎麼辦？這個站黑不了了？？？

繼續往下看：

先看看這個cms（就是閑著沒事兒干，看看！）

然後神一般的發現了個問題：

神他媽的發現個問題默認的後台賬號密碼是 admin password 然後咱去試試：

神他媽的進去了。。。。到此滲透筆記（一）已經結束！

重點：可見在滲透測試中信息收集多麼重要！！！，we are Zer0 Sec

另外為百度打個廣告：百度一下你就知道！