棋牌网站实战渗透

最新推荐文章于 2024-06-20 16:22:09 发布
最新推荐文章于 2024-06-20 16:22:09 发布
阅读量1.1k 收藏 9
点赞数 5
分类专栏: 实战 文章标签: 安全 数据库 密码学 web安全 网络安全 sql 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71953083/article/details/134493979
版权

以下分享仅供技术交流。

发现

这两天上课的时候很无聊,跟同学一起玩斗地主,把他们打的过年都不敢跟亲戚玩斗地主了,于是我觉得我牌技很高,赌瘾犯了,后来去找了一下棋牌网站,赢一把输两把,忽然在想我的胜负是被人操控了,一想到这就气得很,然后发现了棋牌网站的管理登陆页面,于是我就要报复一下他。

输入账号1的时候提示账号不存在,输入admin的时候提示账号密码错误,也就是说存在一个admin账户,然后看了一下我的url地址,发现不是get提交,于是抓个包。

抓了包后看到了提交的参数,于是我测试一下有没有注入漏洞。

修改一下admin后面,加个'发现回显报错了,就可以确定他将我的admin'提交到数据库执行了,又手工注入了一些其他后发现存在sql注入。

利用

于是将前面抓到的包复制一下,保存到post.txt,做好配置后,直接sqlmap一把梭。

爆库

发现RYPlatformManagerDB库,有点可疑啊。爆表。

爆字段。

发现username和password,之前已经有了admin这个用户,就直接看密码吧。

得到密码后解密然后回到网站去登陆然后成功。

果然有机器人操控,可以看出这网站黑了不少钱。

结束

小结:小赌怡情,大赌伤身。跟亲朋好友玩玩斗地主就行了,赌博是真的害人害己,违法的事情咱不干。

技术小结:也是运气好,这个网站也没什么防护,成功拿下,而且看了一下数据库用户是管理员权限,所以应该可以拿下服务器,弄个后门方便以后再次进来。

以上分享仅供技术交流。

Melancholy_x
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
棋牌站点简单渗透
m0_59757868的博客
03-27 2668
前几天无意看到了某个师傅的博客,就看到了某棋牌站点的sql注入,于是花了几分钟打了一下,也就当第一次打这种站点,过程非常简单,最后也是获取到了数据库密码,网站后台密码。sql注入:该站点如果有师傅打过,肯定有感觉的。登录框这里存在sql注入,sqlmap跑一下。但是这里只是一个延时注入,是dba权限这里就不执行os-shell了,太慢了,直接利用xp_cmdshell执行命令xp_cmdshell上线:开启xp_cmdshell:admin';--执行命令判断出网:admin';
实战对某棋牌app渗透测试
热门推荐
黑战士的博客
07-22 2万+
某天无聊,看到朋友发过来一个信息,说要测试一个app。只扔过来一个链接,其余什么都没有。 就一个下载页面然后点击下载即可开启“致富”人生。现在很多棋牌都是这种套路直接扔一个静态页面下载软件开玩。真的是能省多少省多少。 废话不多说下载app扔到模拟器测试。 模拟器打开如下: 点击没反应,以为是模拟器的问题于是换个模拟器继续测试发现问题一样。猜测是检测模拟器与手机。现在很多棋牌app都是会检测模拟器的,发现是模拟器运行会各种错误。 于是手机安装: 发现可以正常运行。实锤了是检测模拟器与手机。 app渗透
棋牌渗透测试
最新发布
黑战士的博客
06-20 288
通过图3-1得知存在Sql注入漏洞且是mssql数据库,接下来查看对方是否数据库为dba权限,如果是尝试os-shell获取对方服务器权限。出此文章的初衷也是为了告诫在玩棋牌、dubo或者有想去玩的xdm不要去参加,网络db终害己、踏踏实实赚钱才是明路!由于手工进入后台无法getshell,这里使用AWVS扫描出的Sql注入进行测试。图 3-1 Sqlmap测试图。图 3-3 os-shell。图1-1 fofa资产收集。AWVS测试发现Sql注入。图2-4 AWVS高危漏洞。图 3-2 DBA权限图。
渗透某德棋牌游戏
weixin_43639741的博客
05-20 1万+
声明 本文章纯属虚构,如有雷同不胜荣幸,文中一切观点,纯属于作者瞎想与作者本人无关,大牛误喷,不带节奏谢谢!愿互相帮助共同进步 一直找不到目标站点,昨天下午收到的一条微信之后突然有了目标 还是老规则 下载了APP 这里提示下注意事项 因为这种APP是自动采用微信账号登录 且苹果手机登录前需要申请数据网络权限 所以在进行抓包前 需要先点开APP给予数据网络权限并提前登录微信账号(设置代理之后无法...
优秀运维脚本
小司机的奥拓
04-16 743
会显示出该进程名包含的所有线程。
学完渗透赌博网站,从零基础到实战Web渗透学习路线+手册
WANGJUNAIJIAO的博客
09-07 406
大家都知道IT是一个非常复杂和混沌的领域,充斥着各种已经半死不活的过时技术和数量更多的新系统、新软件和新协议。保护现在的企业网络不能仅仅依靠补丁管理、防火墙和用户培训,而更需要周期性地对网络中的安全防御机制进行真实环境下的验证与评估,以确定哪些是有效的哪些是缺失的,而这就是渗透测试所要完成的目标。渗透测试是一- 项非常具有挑战性的工作。你拿着客户付的钱,却像犯罪者那样去思考,使用你所掌握的各种“游击”战术,在一个高度复杂的防御网络中找出最为薄弱的环节,来实施致命一击。
棋牌游戏网站样板
11-14
在IT行业中,棋牌游戏网站开发是一项复杂且具有挑战性的任务,涉及到多方面的技术知识。下面将详细探讨这个领域的一些核心知识点。 首先,棋牌游戏网站的核心在于其游戏逻辑。这涉及到算法设计,比如扑克牌的洗牌...
棋牌平台网站搭建
04-19
棋牌平台网站搭建
棋牌网站资源
07-04
本网络游戏没有客户端,服务器无需IIS,也无需其他WEB服务器。安装全程无需负责配置。全程只需要输入用户名和密码,其他均为自动,实现零配置安装。
棋牌网站运营流程
12-30
棋牌网站运营
基于Golang开发的棋牌游戏服务端demo(推筒子游戏)
04-07
主要服务 Hall:大厅服务 PushBobbi:推筒子游戏服务 Robot:机器人服务 环境搭建 架构使用go mod构建环境 基础安装 将工程代码克隆在GOPATH/src目录下 确保GOPATH和GOROOT的系统环境变量已经正确配置 配置go mod的环境变量 Mac或Linux export GOPROXY=https://goproxy.io export GO111MODULE=on Windows set GOPROXY=https://goproxy.io set GO111MODULE=on 在工程目录下执行go mod tidy 运行程序 安装Go1.16 设置GOROOT和GOPATH(1.6开始不需要设置GOPATH) 设置环境变量 根据layout.json创建layout_dev.json,其中common_config与must服务不变,其他XX_server服务里面内容都放在新的all_server服务里面 因为本地测试需要将所有服务都同时启动,rancher上面根据环境变量运行服务 例如: "all_server":{ "
棋牌类游戏解决方案
09-24
棋牌类游戏解决方案(阿里云棋牌类游戏解决方案)
二次开发棋牌源码分享
01-11
"二次开发棋牌源码"特别指的是针对棋牌游戏的源码进行二次开发。棋牌游戏包括多种类型,如斗地主和麻将,这些都是在中国广受欢迎的桌面游戏。 首先,让我们深入理解"二次开发"的概念。在棋牌游戏的场景下,二次开发...
【GO语言】棋牌游戏服务器
shangguan_1234的博客
03-16 7366
暂未完成调试,只能跑通简单测试目录结构cgss-{src-{-cg{-center.go                                          -centerclient.go                                                -player.go                           -ipc{-server....
为什么没有黑客攻击棋牌游戏
m0_70754056的博客
07-12 2961
为什么没有黑客攻击,棋牌游戏怎么可能没有,而且每天都有黑客入侵,有一个叫增牛的法外狂徒。今年三十四岁,曾经在云南省某单位做网络技术安全员,十分熟悉网络攻防技术。按理说,他一个月两三万的收入,生活肯定挺滋润,但是他背地里却是个赌徒,太高的薪资也支撑不了他的赌瘾,最终欠下大量的外债。家道中落让增牛恶向胆生,他通过黑客工具解锁到了一家常德市的棋牌游戏运营公司,然后利用pytnon渗透技术入侵了这家公司的数据库后台。由于该公司网络防护薄弱,曾经轻易的就获取到了后台权限之后就找准时机,在一天之内分三次转走了一百零七万
入侵sql serve 后拿服务器_某骗钱的棋牌app下载入侵分析,看黑客的一系列操作...
weixin_39875503的博客
12-15 2957
一天,有人在安全研究人员的QQ邮箱中发送了一封电子邮件。内容是某个国际象棋应用程序的下载链接。他们都知道该领域的应用程序和网站具有欺骗性,因此下面的系列渗透分析操作(内容仅为说明,当您遇到类似的应用程序和网站时不要被欺骗)最初,研究人员使用某个模拟器在其邮箱中安装了某个欺骗应用程序,然后进行了BURP数据包捕获分析通过各种手动分析,在应用程序中的某个位置发现了SQL注入漏洞。以前收集信息...
微信赌场——H5棋牌游戏渗透之旅
weixin_33904756的博客
05-14 9223
i春秋作家:F0rmat 0x01 前言 本来不想发的,涉及太多利益了,这些棋牌游戏的源码最高能卖到几万。开发起来不比一个商场程序难。最近又太忙了,没时间去做代码审计的文章了,但一不小心又抢了个运气王。。。 0x02 开始 一天做这行的朋友来找我,说帮审计下一套程序,正好这边的缺一篇文章就顺便去看看了。开始看了下目录,找了几个用这套源码的平台来测试,看了下里面的功能。这套源码用的框架是基于Thin...
为什么黑客不攻击赌博网站?如何成为一名顶级黑客?
heikeyouyou的博客
07-11 165
你知道为什么黑客不攻击赌博网站吗?
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值