HTB_Ignition练习记录——Magento弱密码

目标ip: 10.129.1.27

一、信息收集

sudo nmap -sC -sV 10.129.1.27

image

浏览器输入10.129.1.27:

image

这是Virtual Hosting技术导致的。一台计算机(只有一个ip地址)上部署了许多网站,每个网站都有自己的域名。我们直接访问 ignition.htb 域名,但是DNS服务器无法找到它的ip地址,我们就无法访问。

所以我们将该域名和ip的条目加入本地域名解析文件:

image

再访问:

image

二、实施攻击

目录扫描:

sudo gobuster dir -w common.txt -u http://ignition.htb/

image

访问http://ignition.htb/admin

image

尝试使用 2021 年最常见的密码以及常见的用户名:

image

手动尝试了多个凭证后,我们终于成功登录。正确的密码组合是:admin:qwerty123

image

posted @ 2025-08-30 22:21  youthtour  阅读(12)  评论(0)    收藏  举报