用户
搜索
  • TA的每日心情
    奋斗
    2018-12-23 23:49
  • 签到天数: 97 天

    连续签到: 1 天

    [LV.6]常住居民II

    i春秋-核心白帽

    Rank: 4

    6

    主题

    210

    帖子

    122

    魔法币
    收听
    4
    粉丝
    10
    注册时间
    2015-11-20
    发表于 2016-11-17 02:28:01 6725988
    1.文章难易度【★★★】
    2.文章作者:安春秋
    3.本文参与i春秋社区原创文章奖励计划,未经许可禁止转载

    0x01:事件起因

    昨天下午闲来没事,在基友的群里聊天,我们聊的火热,管理员说这个群我只服我基友,不得不说我这个基友确实厉害,能让现任和前任和平相处的人我也服,哈哈不过男人都是好强的,爱面子,我就发了一句实战破解基友的网站管理员密码,“特么的,来呀!来,来互相伤害”基友说了这么一句。有妹子,这能不来吗?

    5825e1ab9555d.jpg

    0x02:信息收集
    Whois查到注册人信息及邮箱,以及一些没多大用的信息WebScan扫描了一下,获取到网站的目录结构

    1.png   

    2.png

    这里可以有一些可利用信息列表:密码登陆过的url、隐藏的表单、服务器信息、PHP框架以及邮箱,
    总体来说还是不错的,扫描神器在本文后面可以下载。

    0x03:开撸

    打开网站看了几篇文章,发现有sql注入点,直接用御剑跑了一遍,又发现了一个好东西
    QQ图片20161116224120.png

    可以登录数据库的url,有点鸡冻。。。 3.jpg

    直接打开url

    4.png

    5.png
    试了几遍弱口令和低权限登陆,没成功,最后利用社工猜解到登陆密码


    6.png


    登陆进去可以看到一些是数据库名以及修改数据库密码

    7.png


    8.png

    修改成功,不过后来我又改回来了,万一基友暴怒把我的照片放到网上怎么办。。。 9.jpg
    10.png

    0x04:破解数据表中的邮箱及密码

    查看数据表,如果你不知道数据库中有什么,就多番几遍,细心点,你会看到很多有用的东西,还是得多实践,
    当我打开那个打马赛克的数据表,找到了里面的blog_user,打开之后
    12.jpg



    吓死宝宝了,没网了,这种千年等一会的事我都能碰到


    13.png

    刷新之后



    15.png


    表中有注册邮箱,MD5的密文(解密之后就是登录密码)以及注册ip地址和会员名称。破解之后你就可以登录网站嘿嘿了


    16.jpg 17.jpg


    下面是我破解的过程,表弟找了几个解码的网站,这两个网站中破解还是比较靠谱的www.dmd5.com www.cmd5.com

    破解了管理员和另外一个人的密码(我可是守法的三好青年,从不做坏事)
    QQ图片20161116221626.png QQ图片20161116221754.png


    QQ图片20161116222109.png QQ图片20161116222435.png

    0x05:总结

    至此,基友的网站就被我破解了(日完了),也花了不少时间,总结了一下,善于利用身边的任何资源、细心点、心态放好就一定会找到漏洞的。
    非常感谢i春秋给我这么大的平台,感谢各种CCTV、感谢近期来i春秋的各位大表哥的照顾,在这里希望和各位表哥、老司机一起学习,一起进步。
    web Injecte detect System.txt (48 Bytes, 下载次数: 110, 售价: 3 魔法币)

    评分

    参与人数 3魔法币 +13 价值分 +10 收起 理由
    zusheng + 10 感谢发布原创作品,i春秋论坛因你更精彩!.
    heoo + 10 百分之八十的运气+百分之二十的技术.
    酷狗的最爱th + 3 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    本帖被以下淘专辑推荐:

    发表于 2016-11-22 17:59:48
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!

    基本项加分项
    作者帖子标题内容要求内容稀缺性文章篇幅文章深度文章可读性是否系列文章排版优化总分奖金点评
    安春秋看我如何搞掉基友的网站,破解网站会员的邮箱以及密码12213011020渗透纪实文章主要写的是好的渗透思路和过程,本文个人感觉思路和过程并没有创新和亮点,感谢分享

    Hacking the earth.My Blog:https://isbase.cc
    使用道具 举报 回复
    jing0102 发表于 2016-11-17 10:26
    文章没技术含量,思路断断续续没有可看性,phpmyadmin明明可以直接get webshell 为什么要大费周章去弄其余 ...

    大表哥,我就是想破解他的密码,纯粹玩玩,都是自己人,拿shell就没意思啦!
    你说对嘛
    使用道具 举报 回复
    jing0102 发表于 2016-11-17 10:26
    文章没技术含量,思路断断续续没有可看性,phpmyadmin明明可以直接get webshell 为什么要大费周章去弄其余 ...

    差评,这个程序是里程密的开源系统,漏洞也不是很难找,没必要那么麻烦
    使用道具 举报 回复
    w_uai 发表于 2016-11-17 23:53
    虽然很平淡,phpmyadmin直接写马就好了!但是我还是支持,支持原创与分享文章!那么想知道别人密码 ...

    哈哈,这个真没想过,就是想玩玩,你们要看0x01事件起因哦
    使用道具 举报 回复
    薄荷糖微微凉 发表于 2016-11-17 14:11
    哈哈 开玩笑的,我是菜鸟一只,看到楼上的评论好玩跟了一下,不知表哥能否把webscan工具借我使使 ...

    可以呀  欢迎交流,大家一起学习嘛
    使用道具 举报 回复
    安春秋 发表于 2016-11-17 13:59
    表哥,这个确实没什么,我就是玩玩,想知道他的密码而已

    哈哈 开玩笑的,我是菜鸟一只,看到楼上的评论好玩跟了一下,不知表哥能否把webscan工具借我使使
    使用道具 举报 回复
    薄荷糖微微凉 发表于 2016-11-17 13:07
    差评,这个程序是里程密的开源系统,漏洞也不是很难找,没必要那么麻烦 ...

    表哥,这个确实没什么,我就是玩玩,想知道他的密码而已
    使用道具 举报 回复
    Sp4ce 发表于 2016-11-18 00:39
    一般PHPMYADMIN管理员都不删根目录下的README这个文件。。。所以可以直接看到version,不一定非得利用权限 ...

    谢谢表哥,受教啦
    使用道具 举报 回复
    发表于 2016-11-17 10:25:40
    没人抢楼吗?我还是为自己带盐巴!
    使用道具 举报 回复
    发表于 2016-11-17 10:26:06
    使用道具 举报 回复
    Vulkey_Chen 管理员 知识面,决定看到的攻击面 秦 i春秋签约作者
    地板
    发表于 2016-11-17 10:26:16
    文章没技术含量,思路断断续续没有可看性,phpmyadmin明明可以直接get webshell 为什么要大费周章去弄其余的东西,差评
    gh0stkey,米斯特安全团队核心。
    i春秋社区核心成员之一。
    关注米斯特安全团队(MstLab):www.hi-ourlife.com
    使用道具 举报 回复
    发表于 2016-11-17 10:26:55
    钓鱼要到岛上钓,不到岛上钓不到
    使用道具 举报 回复
    发表于 2016-11-17 10:32:17
    666666
    使用道具 举报 回复
    发表于 2016-11-17 10:32:51
    神似米拓cms
    使用道具 举报 回复
    发表于 2016-11-17 10:34:58

    谢谢你的评论是我的动力。
    使用道具 举报 回复
    发表于 2016-11-17 10:37:57
    小梦表哥哭晕在厕所
    使用道具 举报 回复
    发表于 2016-11-17 10:41:18
    神的祖先 发表于 2016-11-17 10:37
    小梦表哥哭晕在厕所

    小梦这会还没上线,我先躲一躲
    使用道具 举报 回复
    坐看表哥怼表哥

    评分

    参与人数 1魔法币 +2 收起 理由
    酷狗的最爱th + 2 欢迎分析讨论交流,i春秋论坛有你更精彩!.

    查看全部评分

    虽是小草,但是有大树的心——出来混该拿到的总会拿到
    使用道具 举报 回复
    发表于 2016-11-17 12:09:00
    那张抽烟的背景图太扎眼了。。。。尺度真大
    使用道具 举报 回复
    发表于 2016-11-17 12:12:55
    xueshen 发表于 2016-11-17 12:09
    那张抽烟的背景图太扎眼了。。。。尺度真大

    嗯嗯 谢谢表哥的指正,下次一定调整好
    使用道具 举报 回复
    使用道具 举报 回复
    12345下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册