众测遇到的一些案列漏洞

文章中涉及的敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行承担！

0x1 前言

记一次在XXX的渗透测试时，遇到时拿到网站后台的一个小故事，也分享一下挖掘漏洞的思路，文章打码，还请师傅们莫怪

0x2 渗透

在渗透测试时，往往要了解清楚资产的范围，不要打偏，不要等到交报告时，客户说这不是我的资产，这就很幽默了?，话不多说，进入正题。

1.用户名枚举

拿到资产，访问一看是一个后台登录页面，经典的登陆页面对抗，这边我直接admin/123456,账号密码错误，尝试system/123456,不存在该账号，（用户名枚举）不管三七二十一，先水一个（不然一个没有很尴尬?）。

2、暴力破解

使用admin用户，爆破密码，没有进行限制，爆破但是没甚结果，应该不是弱口令（放弃）

3、泄露信息</