设为首页收藏本站
查看: 4576|回复: 39

[渗透笔记有奖投稿专版] 某违法网站渗透记录。。。。

[复制链接]
  • TA的每日心情
    慵懒
    3 天前
  • 签到天数: 103 天

    [LV.6]常住居民II

    发表于 2020-4-10 13:03:46 | 显示全部楼层 |阅读模式
    大家好我是爱你们的蛋壳

    前几天刺客在群里发了这么个通知
    正好很久没有写原创帖了 就看了一下举报的一些非法网站

    有个注册入口 看下

    跟大家分享一个知识点 这种BC网站都属于站库分离 不要考虑说在注册页面盲打XSS 基本没啥用

    注册完我们看到 基本上没有什么可以利用的页面 看下他的网站结构吧

    有一个时时彩下注的地方
    通过抓包等方式尝试了很多次 基本上误解(可能是我账户没有存款- -)突然想到时间盲注这个东西 这里就不科普了
    用扫描器跑了一下
    http://XXXX.COM/commerce.php/commerceManage/login

    然后开始测试

    头痛 有waf
    云锁是基于一个特征码进行判断
    这里我们构建一个思路 把原测试语句利用apache特征码绕过试试

    这里由于此漏洞暂未公开 我的特征码就暂时打码了(已经反馈云锁厂商)

    绕过后爆出了路径 基本上判断存在注入了
    然后利用之前我视频跟你们讲的 盲注方法
    抓包跑一下SQLmap看看
    这里要注意的一点是 要带上过waf的特征码 否则还是默认拦截的
    基于时间的盲注用burp截取后导入到sqlmap跑就行了

    过程略 没必要详写

    稳稳进入
    找到自己账户加个款看看


    f

    后续暂不深入

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?注册

    x

    点评

    你个标题党......  发表于 2020-4-23 11:46
    标题党  发表于 2020-4-10 20:30
    这标题党,[脏话]。。。  发表于 2020-4-10 18:47
    兴致勃勃的过来。满嘴脏话走开。  发表于 2020-4-10 14:48
    你个标题党  发表于 2020-4-10 13:17

    评分

    3

    查看全部评分

  • TA的每日心情
    无聊
    3 天前
  • 签到天数: 141 天

    [LV.7]常住居民III

    发表于 2020-4-10 14:26:17 来自手机 | 显示全部楼层
    老营销号了
    回复 支持 1 反对 0

    使用道具 举报

  • TA的每日心情
    奋斗
    12 小时前
  • 签到天数: 68 天

    [LV.6]常住居民II

    发表于 2020-4-10 13:06:24 | 显示全部楼层
    你个标题党,举报了

    评分

    1

    查看全部评分

    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2020-4-13 00:11
  • 签到天数: 39 天

    [LV.5]常住居民I

    发表于 2020-4-10 13:21:00 | 显示全部楼层
    抖音里面咋不去发了?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    22 小时前
  • 签到天数: 671 天

    [LV.9]以坛为家II

    发表于 2020-4-10 13:28:55 | 显示全部楼层 赞助商
    蛋总牛批,比我标题写的还吸引,我QQ上图片了嘿嘿嘿
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2020-5-2 20:35
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2020-4-10 13:45:05 | 显示全部楼层
    这个标题真的是够吸引人的,不过希望蛋总能写一下具体过程好让我们学习一下
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    3 天前
  • 签到天数: 103 天

    [LV.6]常住居民II

     楼主| 发表于 2020-4-10 13:48:43 | 显示全部楼层
    asdjnsj 发表于 2020-4-9 19:45
    这个标题真的是够吸引人的,不过希望蛋总能写一下具体过程好让我们学习一下

    就是基于云锁waf的一个绕过 并且在后台发现了时间盲注 然后跑出来管理员账号密码的一个事件
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    昨天 08:44
  • 签到天数: 90 天

    [LV.6]常住居民II

    发表于 2020-4-10 13:53:06 | 显示全部楼层
    蛋总牛逼,过客的QQ都上去了嘿嘿i黑
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    20 分钟前
  • 签到天数: 461 天

    [LV.9]以坛为家II

    发表于 2020-4-10 14:03:29 来自手机 | 显示全部楼层
    看君一篇贴,浪费几分钟!!!!!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2020-5-23 07:25
  • 签到天数: 93 天

    [LV.6]常住居民II

    发表于 2020-4-10 14:25:18 | 显示全部楼层 赞助商
    这个可以说是不是标题党?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2020-5-23 10:24
  • 签到天数: 58 天

    [LV.5]常住居民I

    发表于 2020-4-10 15:11:35 | 显示全部楼层
    我是算被骗进来的吗?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    6 天前
  • 签到天数: 60 天

    [LV.6]常住居民II

    发表于 2020-4-10 15:12:02 | 显示全部楼层
    你让我怎么说你好!!。。。。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    22 小时前
  • 签到天数: 695 天

    [LV.9]以坛为家II

    发表于 2020-4-10 16:44:06 | 显示全部楼层
    通读全篇,还是有点收获的(*^▽^*)----“跟大家分享一个知识点 这种BC网站都属于站库分离 不要考虑说在注册页面盲打XSS 基本没啥用”
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    3 天前
  • 签到天数: 112 天

    [LV.6]常住居民II

    发表于 2020-4-10 22:59:03 | 显示全部楼层
    举报举报  ,满脸幸福的走了进来,骂骂咧咧的跑了,标题党!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    3 天前
  • 签到天数: 112 天

    [LV.6]常住居民II

    发表于 2020-4-10 23:03:48 | 显示全部楼层
    我也想进一下QQ群 我搜了一下这也太多了 能发个群号么
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    关闭

    站长推荐 上一条 /1 下一条

    红盟社区--中国红客联盟 

    Processed in 0.089678 second(s), 30 queries.

    站点统计| 举报| Archiver| 手机版| 黑屋 |   

    Powered by HUC © 2001-2017 Comsenz Inc.

    手机扫我进入移动触屏客户端

    关注我们可获取更多热点资讯

    Honor accompaniments. theme macfee

    快速回复 返回顶部 返回列表