WooYun.org

通过Hack手段得到信箱登录地址为：http://www12.zzu.edu.cn//office/admin/123.php
通过后台登录界面判断应该不是使用的CMS，应该为自行开发的一套系统， 这样通常会有一些漏洞和BUG可利用
刚好最近在学习BurpSuite这款神器！就拿出来测试一下吧
1# 首先配置好BurpSuite监听地址和浏览器代理地址 ..

2# 我们需要破解帐号和密码是这两字段。为 “adminid”和“adminpw”

3# 我们需要抓取发向服务器的数据包，并配置字典到要暴力破解的字段 操作如下..

这里还需要配置一个地方，那就是报错信息，细心的同学可能注意到在尝试使用错误的帐号密码登录的时候，会有一个报错，会提示你“登录失败，用户名或密码错误！” 是的，我们还需要在这里配置一下报错提示

ok！ 到这里我们配置就完成了，剩下的就交给BurpSuite吧，破解是否成功依赖于你的字典文件

跑完我们可以根据返回响应大小差异来判断是否存在可利用的东西，这里我跑出了几个POST型的SQL注入和三个万能密码登录。