以下分享仅供技术交流。
发现
这两天上课的时候很无聊,跟同学一起玩斗地主,把他们打的过年都不敢跟亲戚玩斗地主了,于是我觉得我牌技很高,赌瘾犯了,后来去找了一下棋牌网站,赢一把输两把,忽然在想我的胜负是被人操控了,一想到这就气得很,然后发现了棋牌网站的管理登陆页面,于是我就要报复一下他。
输入账号1的时候提示账号不存在,输入admin的时候提示账号密码错误,也就是说存在一个admin账户,然后看了一下我的url地址,发现不是get提交,于是抓个包。
抓了包后看到了提交的参数,于是我测试一下有没有注入漏洞。
修改一下admin后面,加个'发现回显报错了,就可以确定他将我的admin'提交到数据库执行了,又手工注入了一些其他后发现存在sql注入。
利用
于是将前面抓到的包复制一下,保存到post.txt,做好配置后,直接sqlmap一把梭。
爆库
发现RYPlatformManagerDB库,有点可疑啊。爆表。
爆字段。
发现username和password,之前已经有了admin这个用户,就直接看密码吧。
得到密码后解密然后回到网站去登陆然后成功。
果然有机器人操控,可以看出这网站黑了不少钱。
结束
小结:小赌怡情,大赌伤身。跟亲朋好友玩玩斗地主就行了,赌博是真的害人害己,违法的事情咱不干。
技术小结:也是运气好,这个网站也没什么防护,成功拿下,而且看了一下数据库用户是管理员权限,所以应该可以拿下服务器,弄个后门方便以后再次进来。
以上分享仅供技术交流。