渗透某BC杀猪盘过程

渗透某BC杀猪盘过程

黑客教程访客2021-10-07 0:17:0011090A+A-

事情的起因


这位兄弟找到我,告诉我被骗了很多钱,我们这些正义的白帽子当然能帮则帮啦.

 

当然,毕竟是杀猪盘,即便是拿下也不能把钱追回


信息收集

 

拿到目标网站,可见是一个很常规的bc站,而且做的有点low逼。

 

先进行简单的信息收集

 

通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息

命令行nslookup+url查看ip,发现没有CDN

再到站长工具上看看 http://s.tool.chinaz.com/same

香港的,羊毛出在羊身上,中国人在骗中国人?

知道ip地址后端口扫描一波(全端口扫描+服务探测。这个过程比较漫长,可以先干别的)

 

看到开放3306端口,连接一下看看

 

发现不行,应该是不能外连

 

后台攻陷

 

回到web,反手在url后面加一个admin

发现不行,这才想起来一般BC的后台都是单独存在的

 

既然如此,只能找一找xss了


先注册账号登录进去看看

填写的都是虚假信息,请勿当真

进去以后是酱紫,感觉很熟悉,好像之前有过0day奥,好像是在存款的地方

试一波

提交

看看xss平台能否收到cookie

收到了cookie,确定xss存在,下一步登录后台

此处可以看到,用户其实不少

而且被骗的用户都会被管理员删除账号

导致现在的用户看着很少

 

寻找上传点

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理