棋牌网站实战渗透

以下分享仅供技术交流。

发现

这两天上课的时候很无聊,跟同学一起玩斗地主,把他们打的过年都不敢跟亲戚玩斗地主了,于是我觉得我牌技很高,赌瘾犯了,后来去找了一下棋牌网站,赢一把输两把,忽然在想我的胜负是被人操控了,一想到这就气得很,然后发现了棋牌网站的管理登陆页面,于是我就要报复一下他。

输入账号1的时候提示账号不存在,输入admin的时候提示账号密码错误,也就是说存在一个admin账户,然后看了一下我的url地址,发现不是get提交,于是抓个包。

抓了包后看到了提交的参数,于是我测试一下有没有注入漏洞。

修改一下admin后面,加个'发现回显报错了,就可以确定他将我的admin'提交到数据库执行了,又手工注入了一些其他后发现存在sql注入。

利用

于是将前面抓到的包复制一下,保存到post.txt,做好配置后,直接sqlmap一把梭。

爆库

发现RYPlatformManagerDB库,有点可疑啊。爆表。

爆字段。

发现username和password,之前已经有了admin这个用户,就直接看密码吧。

得到密码后解密然后回到网站去登陆然后成功。

果然有机器人操控,可以看出这网站黑了不少钱。

结束

小结:小赌怡情,大赌伤身。跟亲朋好友玩玩斗地主就行了,赌博是真的害人害己,违法的事情咱不干。

技术小结:也是运气好,这个网站也没什么防护,成功拿下,而且看了一下数据库用户是管理员权限,所以应该可以拿下服务器,弄个后门方便以后再次进来。

以上分享仅供技术交流。

  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 9
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值