拿到目标网站,可见是一个很常规的bc站,而且做的有点low逼。
先进行简单的信息收集,通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息
命令行nslookup+url查看ip,发现没有CDN
再到站长工具上看看 http://s.tool.chinaz.com/same
香港的,羊毛出在羊身上,中国人在骗中国人?
知道ip地址后端口扫描一波(全端口扫描+服务探测。这个过程比较漫长,可以先干别的)
看到开放3306端口,连接一下看看
发现不行,应该是不能外连
回到web,反手在url后面加一个admin
发现不行,这才想起来一般BC的后台都是单独存在的
既然如此,只能找一找xss了
先注册账号登录进去看看
填写的都是虚假信息,请勿当真
进去以后是酱紫,感觉很熟悉,好像之前有过0day奥,好像是在存款的地方,试一波
提交
看看xss平台能否收到cookie
收到了cookie,确定xss存在,下一步登录后台
此处可以看到,用户其实不少,而且被骗的用户都会被管理员删除账号,导致现在的用户看着很少
看到有数据库备份,但是发现不可以下载,放弃
后台找了一圈没有发现上传点,可能是小弟太菜技术不够
之后问了群里的大佬,大佬说可以做一个flash钓鱼,源码我下载以后,发现做flash钓鱼需要具备三个条件我就果断放弃了
条件:
如果觉得还行,请给个免费的赞,如果感觉不行…也不要喷小弟哦
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
a478747950 | 0.01 | 0 | 2020-10-16 19:07:40 | 一个受益终生的帖子~~ |
mine | 2.00 | 0 | 2020-05-13 16:04:16 | 一个受益终生的帖子~~ |
mine | 4.00 | 0 | 2020-05-13 16:04:01 | 一个受益终生的帖子~~ |
奖励系统 | 100.00 | 0 | 2020-05-13 12:12:27 | 投稿满 10 赞奖励 |
奖励系统 | 50.00 | 0 | 2020-05-12 23:11:13 | 投稿满 5 赞奖励 |
admin | 100.00 | 0 | 2020-05-12 14:02:02 |
打赏我,让我更有动力~
The attachment is hidden and you need to reply to the topic before it becomes visible.
© 2016 - 2023 掌控者 All Rights Reserved.
南城
发表于 2020-5-12
1
评论列表
加载数据中...
柴鱼
发表于 2020-5-12
1
评论列表
加载数据中...
项小羽
发表于 2020-5-12
1
评论列表
加载数据中...
changelose
发表于 2020-5-12
1
评论列表
加载数据中...
zhaohanqing168
发表于 2020-5-12
1
评论列表
加载数据中...
宇
发表于 2020-5-12
不错
评论列表
加载数据中...
李万吉
发表于 2020-5-12
挺好
评论列表
加载数据中...
王灵
发表于 2020-5-12
1
评论列表
加载数据中...
lky123456
发表于 2020-5-13
牛逼
评论列表
加载数据中...
erick
发表于 2020-5-13
1
评论列表
加载数据中...
tb879277076
发表于 2020-5-13
1
评论列表
加载数据中...
柠檬
发表于 2020-5-13
1212
评论列表
加载数据中...
qwe123
发表于 2020-5-13
1
评论列表
加载数据中...
marz13
发表于 2020-5-13
看看隐藏了啥
评论列表
加载数据中...
小黑飞了
发表于 2020-5-13
1
评论列表
加载数据中...
fthgb
发表于 2020-5-13
111
评论列表
加载数据中...
twalone
发表于 2020-5-13
1111111111
评论列表
加载数据中...
guidie
发表于 2020-5-13
有兴趣和我一起拿下这个站的服务器的兄弟可以加一下我哦,小弟技术不够
评论列表
加载数据中...
oneeyedbear
发表于 2020-5-13
1
评论列表
加载数据中...
mine
发表于 2020-5-13
dalao求带
评论列表
加载数据中...