对某代刷网站的渗透测试

最新推荐文章于 2022-03-09 10:21:10 发布
最新推荐文章于 2022-03-09 10:21:10 发布
阅读量6.6k 收藏 70
点赞数 8
分类专栏: 渗透测试 文章标签: 信息安全 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pentestnotes/article/details/118658682
版权

0x01

今天闲来无事,在网上冲浪看帖,看到有个人发了一个代刷网站链接,出于好奇就点进去看了下,一看,好家伙,业务还挺多啊。可惜都要钱,咱可没钱!

0x02

然后便想看看有没有办法白嫖,哦不,是想热心的帮忙友情检测一下。

其实这种代刷系统之前也有了解过,总的来说,安全性还是比较高的,基本没什么漏洞,所以就没想着去尝试系统中的漏洞。而是首先想到找一找后台地址,尝试一下弱口令,看能否进入后台,网站管理员使用了过于简单的弱口令,这种事情很常见,毕竟,人 是系统安全中最薄弱的环节。

进入登录页面

尝试了常见的弱口令,不出我所料都失败了,看来要收集一下信息,生成字典然后进行爆破。

0x03

首先查询了一下网站的 whois 信息,运气挺好,直接查到了名字 林* 和 qq 邮箱,其中 qq 邮箱账号和网站首页所留的 qq 号是一致的,都是 158xxxxxx。

最低0.47元/天 解锁文章
三分灰
关注
  • 8
    点赞
  • 70
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
超详细 某代刷网站js逆向
weixin_44154094的博客
05-10 1685
1.背景及简单分析 插播恰饭广告:可以加我qq 2967615343随便打赏点,我把js代码和post服务器可用脚本,一起发你 这几天想用Django写一个接口,但不知道写啥,写每天天气推送太俗,烂大街,我把目光放到了代刷平台,发现有的网站提交的时候有极验滑块,以我现在的js逆向能力还还原不了,然后找了几个不涉及极验滑块的代刷网站, 大概是这个样子, 我在经过抓包后发现这两个文件比较有用 2.抓包 第一次请求 正常请求,会返回图示的json,但我用fiddler,就无法请求,会返回fiddler,随后
5个免费练习黑客技术的网站
2201_75362610的博客
06-18 2363
大家好,最近有小伙伴在微信上问我:有没有练习CTF的地方?
网页代刷工具
05-16
1、通过代理IP地址刷网站IP; 代理列表文件为T XT格式,里面的代理IP列表格式为:IP:端口,多个以回车分隔,如: 192.168.1.1:80 192.68.8.2:8888 222.222.222.222:80 .... 2、直接刷网站PV; 以上二种方法的使用过程是一样的,唯一不同点是:你在软件的 设置->选项 中是否选中了“所有任务为刷PV”,如果选中则为刷PV,如果不选中则为刷IP(刷IP时软件会弹出“打开文件窗口”提示你导入代理列表。 页面纯净 简单好用
实战|对某一网站渗透测试
公众号:乌云安全
03-09 538
转载于:http://diego.team 对网站渗透 端口扫描 存在mysql,ftp,ssh,http,ajp,tomcat多个服务 ajp 存在漏洞2020-10487 Tomcat apj 存在任意文件读 ,但没啥用 WEB-INF/web.xml里没有任何东西 app上抓了个包,发现了比较可以的api 对name进行注入, 输入"||1||"返回正常数据 ,但无法注释后面的内容,只能布尔注入 sqlmap 一把梭 python .\sqlma...
代刷网通杀反射形XSS漏洞
Moxin1044的博客
02-15 2799
昨天甚是无聊,于是就脑子里有个神奇的思路。既然代刷网可以搭建一个分站,那么是不是可以通过分站后台管理来修改一些标题、公告?加入一些XSS语句甚至PHP语句,然后进行下一步操作(下一步操作我还在学习)。那么我们赶紧来一次把。 我们找百度排第一页的站,全部试用了一遍,发现这个XSS漏洞是普遍存在的。我们直接上视频:https://www.bilibili.com/video/av89051239/ 蓝...
释梦代刷网八套模板+源码+教程 全部功能可用
软件下载
02-18 4546
简介: 修复发卡功能,分站功能,解密文件。完全无加密 内含八套模板 带有详细安装步骤,经测试全部功能可用 1.可作为个人发卡网使用 2.分站功能可能,无限分站 3.可对接各大社区或克隆各网站,简单操作 4.集成免签约接口,直接到自己的支付账户 5.优化相应速度,分站可自选模板 6.等等。。。 网盘下载地址: http://www.bytepan.com/u2ekwCakQZL ...
最新刷QQ服务漏洞!
jayyezi的专栏
12-09 1072
不能说是漏洞吧。。。是他们的一个技术上的疏忽吧。。--------用网通。。。大家查一下,,黑龙江的网通IP。。。(SHOWIP这个工具就性。又名纯真IP数据库吧 )然后用扫描软件扫描一写IP端。。。具体就扫描代理。。8080或3128。。。只要是代理端口就性,。然后进bbn.qq.com或者cnc.qq.com然后下面。。选择黑龙江。。网通。。。。然后就可以开同服务拉。。。如果是第一次,,的时候
修复版祥云代刷系统网站源码附视频教程
04-12
修复内容! 1.隐藏订单详细信息密码...3.祥云蓝色模板文章只显示标题 4.分类-支fu禁用,增加禁用yu额 5.自定义商品名修复 6.清空qq授权登录缓存 7.新增 咔商网社区 8.修复 同系统对接咔密,咔密不显示 ...带安装视频教程
某虹代刷APP源码源码带APP后台【全开源无加密】
06-11
某虹代刷APP源码源码带APP后台【全开源无加密】
最新版代刷网带供货商和砍价功能全解无加密网站
03-19
安装后打开/gonghuo/login.php账号密码后台都是:admin
彩虹代刷官网html源码.zip
05-07
一个非常简易的代刷官网源码,记事本直接编辑index.html文件,即可修改首页内容,本地即可预览效果,做官网挺不错的。
大佬必修课(玩代刷卡盟黑站挂页啥的)
09-13
easypanel账号密码重置 sqlmap教程 数字型注入 小学生式上传漏洞 字符型注入
彩虹代刷网工单自动处理网站插件
03-22
自动处理待处理、异常、已退款状态的订单问题,默认回复内容可编辑源码更改。 插件需要监控,监控频率自己觉得合适即可!下载解压到代刷目录! 接口地址:域名/admin/gongdanchuli.php
彩虹代刷网Cool模板
03-19
模板Cool模板独家 教程 1.将template.zip文件上传到代刷网根目录 ep空间是wwwroot目录下,直接点击解压即可! 2.进入彩虹代刷后台找到模板设置选择Cool模板, 切换首页即可看到模板效果!
mysql 手工注入语句总结_[总结]SQL手工注入总结
weixin_28783937的博客
01-27 313
虽说目前互联网上已经有很多关于 sql 注入的神器了,但是在这个 WAF 横行的时代,手工注入往往在一些真实环境中会显得尤为重要。本文主要把以前学过的知识做个总结,不会有详细的知识解读,类似于查询手册的形式,便于以后的复习与查阅,文中内容可能会存在错误,望师傅们斧正!0x01 Mysql 手工注入1.1 联合注入?id=1' order by 4--+?id=0' union select 1,2...
代刷网html统计代码,【QQ代刷网】前台代码大全
热门推荐
weixin_42521558的博客
06-04 3万+
首页滚动代码(自己修改下面的字)direction="left" Align="Middle" style="font-weight:bold;line-height: 20px;font-size: 20px;color:#ff0000;">特价搭建代刷网分站活动!只要1元!首页固定代码(自己修改下面的字)class="list-group-item">class="btn btn-...
某彩虹资源共享通杀漏洞
qq_45832835的博客
07-24 3226
任意文件读取是属于文件操作漏洞的一种。 一般任意文件读取漏洞可以读取配置的信息甚至系统文件更重要。 是的你没看错,通杀0day 在某天上课的时候闲着,音乐老师放着好运来,好机会啊,赶紧挖个洞看看,接着逛了逛某侠 看到这种表白墙,我就肯定想刷波xss跟sql注入 (遇到这种表白站也是通杀,cont.php处存着sql注入) 谁知点开一看,什么花里胡哨资源共享,看了看可以上传文件,不慌,看看能不能拿下webshell 居然是下载,反正是下载也不多琢磨,看看其他漏洞 随便查看个文件看到name=那里貌似是查看
csdn博客刷粉代码
极简的随笔
06-24 43
原理是当有访客访问博客时,执行js实现自动加粉丝,达到刷粉的目的。 <script src="http://code.jquery.com/jquery-1.4.1.min.js" type="text/javascript"></script> <script type="text/javascript"> $(function(){ ...
最新代刷网秒刷订单量源码
html模板下载
02-19 1万+
源码介绍: 代刷网刷订单量源码,上传即可使用 网盘下载地址: http://www.bytepan.com/T6yk00KelAf 图片:
微信小程序代刷访问量
最新发布
12-01
很抱歉,我不能为您介绍或演示微信小程序代刷访问量的方法。这种行为是违反微信小程序的规定的,可能会导致您的小程序被封禁。微信小程序官方一直在加强对小程序的管理和监管,如果发现有人使用代刷访问量的方式来提高小程序的访问量,将会受到惩罚。因此,我建议您通过正常的方式来提高小程序的访问量,例如通过小程序的分享功能、社交媒体宣传等方式来吸引更多的用户使用您的小程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值