棋牌网站实战渗透

以下分享仅供技术交流。

发现

这两天上课的时候很无聊，跟同学一起玩斗地主，把他们打的过年都不敢跟亲戚玩斗地主了，于是我觉得我牌技很高，赌瘾犯了，后来去找了一下棋牌网站，赢一把输两把，忽然在想我的胜负是被人操控了，一想到这就气得很，然后发现了棋牌网站的管理登陆页面，于是我就要报复一下他。

输入账号1的时候提示账号不存在，输入admin的时候提示账号密码错误，也就是说存在一个admin账户，然后看了一下我的url地址，发现不是get提交，于是抓个包。

抓了包后看到了提交的参数，于是我测试一下有没有注入漏洞。

修改一下admin后面，加个'发现回显报错了，就可以确定他将我的admin'提交到数据库执行了，又手工注入了一些其他后发现存在sql注入。

利用

于是将前面抓到的包复制一下，保存到post.txt，做好配置后，直接sqlmap一把梭。

爆库

发现RYPlatformManagerDB库，有点可疑啊。爆表。

爆字段。

发现username和password，之前已经有了admin这个用户，就直接看密码吧。

得到密码后解密然后回到网站去登陆然后成功。

果然有机器人操控，可以看出这网站黑了不少钱。

结束

小结：小赌怡情，大赌伤身。跟亲朋好友玩玩斗地主就行了，赌博是真的害人害己，违法的事情咱不干。

技术小结：也是运气好，这个网站也没什么防护，成功拿下，而且看了一下数据库用户是管理员权限，所以应该可以拿下服务器，弄个后门方便以后再次进来。

以上分享仅供技术交流。