记录一次被拒cnvd

看这个各个大佬cnvd拿到手软，自己也想搞一个，记录一次被拒。

信息收集

访问网站地址

通过页面观察信息收集发下登录入口

查看登录界面js （app.bb916d00.js）

进行js代码审计，发现对应代码

继续向下审计，发现多个路径

尝试拼接路径

发现点击交投所示可以看见后台详细信息

刚好后台信息与右侧js代码信息一致

个人资料可以进行资料修改

可以进行密码修改，发现的到原密码为admin

返回登录界面，知道密码，使用burp suite 尝试爆破

抓取登录包发现明文传输

发送到intruder模块，只添加account的payload，密码我们知道了,为admin

开始攻击，爆破成功，账户为admin

尝试登录，登陆成功