【网安实战】兄弟被坑,我渗透进某BC的杀猪盘经历

已于 2024-01-29 20:30:58 修改
阅读量304 收藏
点赞数
文章标签: 网络 web安全 网络安全 黑客 渗透
于 2023-06-10 10:44:34 首次发布
原文链接:https://zhuanlan.zhihu.com/p/377665770
版权

事情的起因

这位兄弟找到我,告诉我被骗了很多钱,我们这些正义的白帽子当然能帮则帮啦.

当然,毕竟是杀猪盘,即便是拿下也不能把钱追回

信息搜集

拿到目标网站,可见是一个很常规的bc站,而且做的有点low逼。

先进行简单的信息收集

通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息

命令行nslookup+url查看ip,发现没有CDN

再到站长工具上看看 http://s.tool.chinaz.com/same

香港的,羊毛出在羊身上,中国人在骗中国人?

知道ip地址后端口扫描一波(全端口扫描+服务探测。这个过程比较漫长,可以先干别的)

看到开放3306端口,连接一下看看

发现不行,应该是不能外连

后台攻陷

回到web,反手在url后面加一个admin

发现不行,这才想起来一般BC的后台都是单独存在的

既然如此,只能找一找xss了

先注册账号登录进去看看

填写的都是虚假信息,请勿当真

进去以后是酱紫,感觉很熟悉,好像之前有过0day奥,好像是在存款的地方

试一波

提交

看看xss平台能否收到cookie

收到了cookie,确定xss存在,下一步登录后台

此处可以看到,用户其实不少

而且被骗的用户都会被管理员删除账号

导致现在的用户看着很少

寻找上传点

看到有数据库备份,但是发现不可以下载,放弃

后台找了一圈没有发现上传点,可能是小弟太菜技术不够

之后问了群里的大佬,大佬说可以做一个flash钓鱼,源码我下载以后,发现做flash钓鱼需要具备三个条件我就果断放弃了

条件:

  1. 一个免费空间
  2. 一个免费域名(域名可以搞一个 http://www.flashxxx.tk 这种的,可信度比较高)
  3. 一个可以正常上线的马子

​最后

为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

因篇幅有限,仅展示部分资料

2️⃣视频配套资料&国内外网安书籍、文档

① 文档和书籍资料

② 黑客技术

因篇幅有限,仅展示部分资料

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

3️⃣网络安全源码合集+工具包

4️⃣网络安全面试题

5️⃣汇总

所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,扫码获取~

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

程序学到昏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
搭建bc私有云全挑战与实战
01-27
对于企业来说,从现有的IT管理体系过渡到私有云平台,大致经历了以下几个过程:数据大集中、业务系统整合、IT资源的虚拟化、管理平台的云化、应用和服务的集成提供。私有云为企业各个业务部门提供统一服务,不仅仅包括计算资源、存储资源、络资源,还应该包括全资源,如身份认证、病毒查、入侵检测、行为审计等,只分配了计算资源与存储资源的系统,对用户来讲,无异于“裸奔”。在企业私有云环境里,不同业务系统的全需求差异很大,那么在一个“云”内,为不同业务系统提供不同的全策略,全策略如何部署?部署在哪里?差异化的需求如何满足?
[实践II] 实验2. 密码学实验
LostUnravel的博客
11-09 2220
[实践II] 实验2. 密码学实验 工具: hashcat, SageMath 1. SHA1破译 注: 使用hashcat破解具有不确定性, 两题可能需要较长的时间才能成功解密 1.1 题干: 破译如下8位小写字母加数字的口令(SHA1(passwd)) bdba993c7b4b1f5f407f9e24483a407ed85cbc3a 使用指令: ./hashcat64.exe -m 100 bdba993c7b4b1f5f407f9e24483a407ed85cbc3a -a 3 ?h?h?
全——数据链路层全协议
A_991128a的博客
03-14 1487
本章将会讲解数据链路层上的全协议通信的每一层中都有自己独特的全问题,全问题应该在多个协议层,针对不同的弱点解决。就全而言,数据链路层(第二协议层)的通信连接是较为薄弱的环节。本章中,我们将集中讨论与数据链路层相关的全问题。!
基础学习之“文件上传漏洞原理与实现”
Innocence_0的博客
02-25 573
基础学习之“文件上传漏洞原理与实现”
全】渗透测试入门指南,新手必看!
瓦罗兰特顶级C位的博客
06-09 1579
渗透测试工程师就相当于特种部队里面的特战队员,我们需要对我们的目标做一次渗透,以测试目标的防护能力。渗透测试工程师就相当于矛,目标就相当于盾
渗透实战之一次bc渗透过狗过火绒经历
zkaqlaoniao的博客
10-29 3795
目录 事件起因 开始渗透 此时面临的难处 过狗转折点 公众号:黑客菌 分享更多技术文章,欢迎关注一起探讨学习 事件起因 从某个大佬手上获取到含有漏洞指纹信息的bc的cms。于是想尝试一波。通过指纹找一个站点。 PS:本文仅用于技术研究与讨论,严禁用于非法用途,违者后果自负 开始渗透 打开链接,发现是一个登录框,说登录框有注入,直接可以得到 --os-shell的权限 登录页面,直接sqlmap--os-shell 一把梭,得到shell了 将shell传给cs,先在c.
BC渗透的常见切入点(总结)
zhangge3663的博客
01-05 4407
做了不少qp,BC渗透了,通宵了2个晚上干了几个盘子,简略的说下过程,做一下总结。 首先说一下qp, 以我的渗透成功案例来说的话首先信息收集必不可少的,qp的特点是什么呢? 他的后台会在服务器域名的后面以不同的端口形式架设 如图: 关于端口可以发现,基础东西你们都懂。 切入点: 在app里面抓包,查找邮箱,充值的地方寻找sql注入或者意见反馈的位置XSS 有一种情况是抓包显示127.0.0.1的抓不到包的情况,这种情况多于大盘子,它不一定走的是TCP UDP协议。可以参考T-ice表哥说的 P..
实战|记一次绕过宝塔防火墙的BC渗透
zhangge3663的博客
05-06 9683
0x00 信息收集 由于主站存在云waf 一测就封 且初步测试不存在能用得上的洞 所以转战分站 希望能通过分站获得有价值的信息 这是一个查询代理帐号的站 url输入admin 自动跳转至后台 看这个参数,猜测可能是thinkCMF 0x01 getshell thinkcmf正好有一个RCE 可以尝试一下 ?a=fetch&templateFile=public/index&prefix='' &content=<php>file_put_content
盘后台小记
cynthrial的博客
05-26 863
记某非法站点后台一日游 最近朋友a的一个朋友可能遇到了类似的黑灰产,导致我的朋友a被无辜误伤,才觉这些黑灰产业的触角已经无处不在。很久没写博客了,正好最近看到一个敲诈站点线索,随便水一笔。 为了避免给专搞这类站的同行造成困扰,技术上其实也没啥亮点,漏洞利用过程就不写了,直接看他们都有啥套路吧。希望所有人都能提高信息全意识,远离受骗和勒索。 信息搜集之后找到后台登陆 界面 用大家都懂的套路就登录去了 用户数其实就是被植入木马的手机的数量,这些木马的会偷偷上传手机通讯录和短信,木马运行状态中可以间接读短
全的行业黑话 ——攻击篇 之攻击方法(2)
城下深蓝的博客
10-03 1851
全的行业黑话 ——攻击篇 之攻击方法(2)
基于BC7281的功能键盘设计
08-14
键盘是最常见的计算机输入设备,广泛应用于微型计算机和各种终端设备上,计算机操作者通过键盘向计算机输入各种指令、数据,...本文采用键盘控制芯片BC728l和单片机AT89S52的输入/输出接口设计一个具有功能键的键盘。
数码管驱动芯片BC7276控制源代码
04-18
BC7276是一款数码管驱动与键盘扫描芯片,该资源包括AVR、MSP430、PIC、STM32等常用MCU控制BC7276的C语言驱动程序源代码。
记录渗透靶场实战全】
热门推荐
kali_Ma的博客
11-06 2万+
第一次写靶场实战的文章,有不足之处还请多多指教。本次实战的靶场是红日全vulnstack系列的第二个靶场。 靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 环境搭建 络环境 卡配置 只需要在VM上选择对应卡即可,不需要在靶机中行配置。 DC IP:10.10.10.10 (VMnet5) OS:Windows 2012(x64) WEB IP1:192.168.111.80 (VMnet6) IP2:10.10.10.80 (VM
2023国赛信息全管理与评估样题及规程解读
Geek极安云科-致力于网络安全事业
07-20 9606
大家都知道该赛项的规程和样题向来都是模棱两可,从来不说具体的内容,导致选手在备赛时没有头绪,不知道该怎么训练,到了赛时发现题目和备赛的时候完全不一样!那么本文将以往年信息全管理与评估赛项经验来解读今年2023年国赛的规程,帮助选手们指明方向,不再为备赛却没有头绪而烦恼!
全小白学习路线,别拜师了,求人不如求己
Spontaneous_0的博客
01-18 240
全小白学习路线,别拜师了,求人不如求己
全领域常用术语(附解释)
forest_LL的博客
12-27 1391
GPRS是通用分组无线服务技术,是在原有的GSM的基础上演变而来的,是介于2G和3G之间的一种技术,一般都把它称为2.5G。其中包括我们耳熟能详的OFDM(正交频分多址),BPSK、QPSK、8PSK , 16QAM,MIMO,高频谱效率,FDD , TDD 等。DES(数据加密标准)算法主要采用替换和移位的方式行加密,它用56位(64位密钥只有56位有效)对64位二制数据块行加密,每次加密对64位的输入数据行16轮编码,经过一系列替换和移位后,输入的64位原数据转换成完全不同的64位输出数据。
对某bc站的一次渗透测试
zhangge3663的博客
10-27 4723
很多人问我你日站是用手工还是工具扫?我觉得两者同时行效率会高些,所谓双管齐下,无站不破,当然还得看人品。 前段时间经常日有颜色的站,懂得都懂,emmm哈哈哈,但都是套路,跟bc又密不可分。 于是就按着套路顺利打开下面这个站: 刚好正是中午的时候,准备恰饭去,先将这个站丢到某W某S里面,如果有东西就直接捡现成的,于是: (ps:不得不承认我长得帅!) 懂的都懂 猜测估计是xp_cmdshell禁用或者删除 当前权限又是dba,而且支持堆叠可以执行update ,inser.
一次弱口令渗透BC
Azjj
06-04 2818
因为某种原因,接手了一个授权的bc站。 内心是拒绝的,但是没办法,硬着头皮收下了。 其实都知道,bc站不是很好弄,在大佬眼里,可能就是掏出一个0day就去了 但像我这种dd,只敢远观。 打开主页,还算清新的画风,比那些打开就这闪那闪花里胡哨的站舒服多了。 简单的扫了一下目录,扫出了两个比较有用的的东西就是一个后台,一个探针 见到后台,废话不多说,直接弱口令套餐来一份 得到的结果肯定是 密码错误X1 密码错误X2 密码错误X3………… 算了,不浪费时间了,看一下探针~ 根据探针,得知站的根目
使用AnaTraf监控企业络性能并诊断络问题
最新发布
anatraf_168的博客
05-06 422
随着络流量的不断增长和应用程序的复杂性不断提高,企业需要一种有效的方法来监控其络性能并诊断任何可能出现的问题。AnaTraf络流量分析仪是一款功能强大的工具,可以帮助企业满足其 NPMD 需求。它是一款高性能的实时络流量分析工具,可用于全流量回溯分析、络流量监控、络性能分析和快速排除络故障。
fc1178bc量产工具没显示u盘
07-01
### 回答1: 如果fc1178bc量产工具没有显示U盘,可能是以下原因导致的: 1. U盘与计算机连接不良:首先,请确保U盘已经正确插入计算机的USB接口,并确认接触良好。同时,确保USB接口没有损坏或者出现其他硬件问题。 2. U盘驱动程序问题:有时候,计算机可能没有正确装U盘的驱动程序,这会导致量产工具无法识别U盘。解决方法是在设备管理器中找到U盘并更新驱动程序,或者尝试在其他计算机上测试U盘是否正常识别。 3. 量产工具版本不兼容:如果量产工具版本不兼容U盘,可能无法正确显示。尝试使用其他版本的量产工具或者升级到最新版本来解决此问题。 4. U盘硬件故障:最后,如果以上方法都无效,可能是U盘本身出现了故障。这时候,建议更换一台全新的U盘来测试。 总结起来,当fc1178bc量产工具没有显示U盘时,需要先检查U盘与计算机的连接情况,确保驱动程序的正确装,尝试使用兼容的量产工具版本,并排除U盘硬件故障。 ### 回答2: 如果FC1178BC量产工具没有显示U盘,可能是以下几个原因导致的: 1. U盘连接不良:首先要检查U盘是否正确连接到电脑的USB接口上,确保连接牢固。如果连接不良,量产工具是无法识别到U盘的。 2. USB驱动问题:可能是由于电脑没有正确装U盘的驱动程序,导致量产工具无法正常识别U盘。可以尝试重新装U盘的驱动程序,或者使用其他电脑来测试U盘是否正常。 3. 量产工具设置错误:有时候量产工具的设置可能不正确,导致无法显示U盘。可以检查量产工具的设置选项,确保选择了正确的设备和接口。 4. U盘硬件故障:如果以上步骤都检查无误,而量产工具仍然无法显示U盘,那么有可能是U盘本身出现了硬件故障。可以尝试将U盘连接到其他电脑上,或者使用其他量产工具来识别和修复U盘。如果U盘仍然无法被识别,可能需要考虑更换U盘。 总之,如果FC1178BC量产工具没有显示U盘,需要逐步排查以上原因,找出具体问题所在,并采取相应的措施来解决。 ### 回答3: 当fc1178bc量产工具没有显示U盘时,可能存在以下几个可能的原因: 1. U盘连接不正确:首先要确保U盘已经正确地连接到计算机的USB接口上,并且没有松动或损坏。 2. 驱动程序问题:如果量产工具没有检测到U盘,可能是因为缺少了相应的驱动程序或驱动程序损坏。在这种情况下,您可以尝试重新装U盘的驱动程序或检查更新。 3. U盘故障:U盘可能出现硬件故障或损坏,而导致无法被量产工具检测到。您可以尝试将U盘连接到其他计算机上,看看是否能够被正常读取。 4. 量产工具设置问题:量产工具可能需要行特定的设置才能识别U盘。您可以参考工具的使用说明或官方文档,查找相关的设置步骤和要求。 5. 兼容性问题:有些量产工具可能不支持某些特定品牌或型号的U盘,因此无法正确识别。您可以尝试使用其他的量产工具或联系相关厂商获取支持。 综上所述,当fc1178bc量产工具没有显示U盘时,可以通过检查U盘连接、驱动程序、U盘本身故障、工具设置及兼容性问题等方面行排查,以确定具体原因并采取相应措施解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值