支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款

POC详情: c2f485dc62acd67b528bd4f0507424381cf4f946

来源
https://github.com/137f/Soosyze-CMS-2.0---CVE-2025-52392
关联漏洞
标题:soosyze 安全漏洞 (CVE-2025-52392)
描述:soosyze是Soosyze开源的一个内容管理系统。 soosyze 2.0版本存在安全漏洞,该漏洞源于/user/login端点缺少速率限制和锁定机制,可能导致暴力破解攻击。
描述
Este script em Bash demonstra como seria um ataque automatizado contra um formulário de login web via WorldList conhecida.
介绍
# Login Form Brute-Force Demo (Educational)

⚠️ **Aviso importante**  
**Este projeto tem finalidade **exclusivamente educacional**.  
Ele mostra como ataques de força bruta podem ser automatizados contra um formulário de login que **não possui defesas básicas**.  
Nunca utilize em sistemas de terceiros sem autorização explícita.**

**Creditos também ao meu mano Haxor, o mesmo me apresentou a vuln e decidimos explorar juntos!**

---

## 📖 Descrição

Este script em **Bash** demonstra como seria um ataque automatizado contra um formulário de login web:

- Faz requisições `GET` para obter o formulário e capturar possíveis tokens de proteção **CSRF**.  
- Usa uma lista de senhas pré-definida ou fornecida por arquivo (`wordlist`).  
- Envia tentativas de login (`POST`) com o email alvo e as senhas da lista.  
- Analisa a resposta do servidor para verificar se o login foi bem-sucedido (buscando indícios de redirecionamento).  
- Adiciona pequenos atrasos aleatórios entre requisições para simular comportamento menos previsível.  

O código mostra, de forma prática, como **a ausência de proteções** como:
- **Rate limiting** (limite de tentativas)  
- **Bloqueio por IP / lockout**  
- **Captcha**  
- **Autenticação de múltiplos fatores (2FA)**  

permite que um atacante tente senhas indefinidamente até encontrar a correta.

---

## 🚀 Uso em laboratório

1. Configure um ambiente de testes com um formulário de login vulnerável (ex.: aplicações deliberadamente inseguras como [DVWA](http://www.dvwa.co.uk/)).  
2. Ajuste a variável `BASE_URL` e `LOGIN_PATH` para o endereço da aplicação.  
3. Defina o email de teste em `TARGET_EMAIL`.  
4. Forneça uma wordlist opcional ou use as senhas padrão embutidas.  

Exemplo:  
```bash
./soosyze.sh worldlist.txt
```
## 💌 Contact

**Caso queira me contatar ou precise de algum serviço, me encontre nas seguintes plataformas:**

**Discord User: 4wj.**

**Instargram: @glowwz9**

**Email: vliyanie1337@proton.me**
文件快照

 [4.0K]  /data/pocs/c2f485dc62acd67b528bd4f0507424381cf4f946
├── [2.0K]  README.md
└── [1.9K]  soosyze.sh

0 directories, 2 files
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。