记一次信息泄露到数据库直接连接

cmjlove   ·   发表于 2021-09-17 12:59:45   ·   实战纪实

小白第一次发文章,各位大佬感觉文章中有不正确的地方请指明一下。(大佬勿喷)

这几天学习挖掘XSS漏洞,所以就在爱站网中找到一个百度权重为3的网站,开干。
在个人中心填写收获地址的地方
写入payload为
“oNmOuSeOvEr=prompt(‘skk’)//


保存,发现并未出现弹框,然后我们点击编辑


发现只要鼠标放到地址区域时,出现弹框,


(这个XSS比较鸡肋,哈哈)
这是我们来进行dirsearch来目录扫描一波,


发现存在git目录


这不用githack来利用一波(注意githack使用时要在python2的环境下)


完成之后,我就在扫描的结果中,翻呀翻,找呀找,终于在index1.php文件中找到了数据库的配置文件(呜呜呜,太感动了)
信息比较敏感,所以我打码比较严重,各位不要见怪


尝试用navicat连接,发现连接成功我这里就不贴图了。
卧槽,尽然能连接成功,这里我只是测试一下是否可以连接,也没有深入
最后提交补天,哎,才给了我2kb

总结:
大家拿到网站在进行信息扫描之后如果发现git,ds_store等文件的时候,一定不要放过,说不定会发现什么小惊喜。
大家觉得还可以的话,高抬贵手,给我点个小心心。

用户名金币积分时间理由
Track-手电筒 20.00 0 2021-09-18 14:02:35 活动额外奖赏
Track-手电筒 40.00 0 2021-09-18 14:02:10 一个受益终生的帖子~~

打赏我,让我更有动力~

0 Reply   |  Until 1个月前 | 257 View
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者