【网安实战】兄弟被坑,我渗透进某BC的杀猪盘经历

事情的起因

这位兄弟找到我,告诉我被骗了很多钱,我们这些正义的白帽子当然能帮则帮啦.

当然,毕竟是杀猪盘,即便是拿下也不能把钱追回

信息搜集

拿到目标网站,可见是一个很常规的bc站,而且做的有点low逼。

先进行简单的信息收集

通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息

命令行nslookup+url查看ip,发现没有CDN

再到站长工具上看看 http://s.tool.chinaz.com/same

香港的,羊毛出在羊身上,中国人在骗中国人?

知道ip地址后端口扫描一波(全端口扫描+服务探测。这个过程比较漫长,可以先干别的)

看到开放3306端口,连接一下看看

发现不行,应该是不能外连

后台攻陷

回到web,反手在url后面加一个admin

发现不行,这才想起来一般BC的后台都是单独存在的

既然如此,只能找一找xss了

先注册账号登录进去看看

填写的都是虚假信息,请勿当真

进去以后是酱紫,感觉很熟悉,好像之前有过0day奥,好像是在存款的地方

试一波

提交

看看xss平台能否收到cookie

收到了cookie,确定xss存在,下一步登录后台

此处可以看到,用户其实不少

而且被骗的用户都会被管理员删除账号

导致现在的用户看着很少

寻找上传点

看到有数据库备份,但是发现不可以下载,放弃

后台找了一圈没有发现上传点,可能是小弟太菜技术不够

之后问了群里的大佬,大佬说可以做一个flash钓鱼,源码我下载以后,发现做flash钓鱼需要具备三个条件我就果断放弃了

条件:

  1. 一个免费空间
  2. 一个免费域名(域名可以搞一个 http://www.flashxxx.tk 这种的,可信度比较高)
  3. 一个可以正常上线的马子

​最后

为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

因篇幅有限,仅展示部分资料

2️⃣视频配套资料&国内外网安书籍、文档

① 文档和书籍资料

② 黑客技术

因篇幅有限,仅展示部分资料

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

3️⃣网络安全源码合集+工具包

4️⃣网络安全面试题

5️⃣汇总

所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,扫码获取~

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值