内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

入侵菠菜后台 通过数据揭示菠菜网站的暴利黑心之处!

2018-11-06 20:39 出处:清屏网 人气: 评论(0

最近饭局上碰到一个原来心仪的妹子,虽然已经4、5年没见面了,妹子见到我还是分外亲热,不仅主动挨着我坐着,居然还邀请我一起玩游戏,心中窃喜不已,哥们王者刚上了王者星耀,先好好炫一下技术,然后……

妹子就给我发来了一个网站

打开一看,尼玛什么鬼,妹子居然也玩彩票了(为了避免广告嫌疑就不截图整个网站了)这种私彩一般都很弱啊,要是能把他拿下来,岂不是可以让妹子好好崇拜一下,别人都说妹子喜欢一个男人是从崇拜他开始的……嗯……

言归正传,访问目标主站

一、扫描注入点

首先我拿出了明小子Domain啊D注入工具,扫描是否网站有SQL注入漏洞,如果有这个漏洞就可以直接获取网站后台账号密码了,扫描结果出来了,很抱歉,没有这个漏洞,那我们继续

二、爆破后台

用软件扫描下网站后台,选择“管理入口监测”然后扫描出网站的后台,然后使用工具暴力破解,看下是否可以爆出弱口令的密码,我们可以使用字典和软件来爆破,这个比较耗时间,就挂着慢慢破吧

三、XSS跨站脚本攻击

后台爆破比较耗时间,在挂着破解的时候我在找有没有消息可以提交的入口,在存款的地方有看到可以提交信息的窗口,我们就在用户昵称这个对话框输入XSS跨站代码<script>alert('xx')</script>就会看到一个弹窗,这时就能说明该网站存在xss漏洞,然后我们把代码换成xss平台里的恶意代码就能实现盗取管理员cookie了,原理如果有这个XSS漏洞就是只要后台有人登陆,在输入账号密码的时候如果有XSS漏洞就会反射回来把COOKIE发送到我的邮箱,xss概括为一句话,就是输入输出在处理时没有进行转义过滤,接下来我们提交看看。

运气还不错,过了十几分钟收到信息了,接下来我们在浏览器改COOKIE进后台

话题继续,

后面页面是这样的

稍微看了下网站才做一个多月流水也挺多的,用户输得也很多,至少输的占七八成以上,实在是暴利,十赌九输,大家还是不要去碰这个东西。

其实方法还有很多,服务器提权,数据库爆破,分析源码找0day如果有时间可以慢慢摸索更多方法,以后有新的文章在博客里面跟大家继续分享,有任何不懂的可以一起交流学习,交个朋友,朋友多了路好走。

分享给小伙伴们:
本文标签: 入侵

相关文章

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

CopyRight © 2015-2016 QingPingShan.com , All Rights Reserved.

清屏网 版权所有 豫ICP备15026204号