用户
搜索
  • TA的每日心情
    开心
    2020-9-5 15:04
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-脚本小子

    Rank: 2

    1

    主题

    14

    帖子

    87

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2020-9-5
    发表于 2020-9-10 10:24:37 1111365
    本帖最后由 GuiDie丶 于 2020-9-10 10:50 编辑

    本文原创作者:GuiDie丶,本文属i春秋原创奖励计划,未经许可禁止转载。




    事情的起因 :








    这位兄弟找到我,告诉我被骗了很多钱,我们这些正义的白帽子当然能帮则帮啦.

    当然,毕竟是杀猪盘,即便是拿下也不能把钱追回







    一、信息收集 :








    拿到目标网站,可见是一个很常规的bc站,而且做的有点low逼。

    先进行简单的信息收集,通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息






    命令行nslookup+url查看ip,发现没有CDN



    再到站长工具上看看 http://s.tool.chinaz.com/same




    香港的,羊毛出在羊身上,中国人在骗中国人?

    知道ip地址后端口扫描一波(全端口扫描+服务探测。这个过程比较漫长,可以先干别的)



    看到开放3306端口,连接一下看看



    发现不行,应该是不能外连


    二、后台攻陷 :






    回到web,反手在url后面加一个admin



    发现不行,这才想起来一般BC的后台都是单独存在的

    既然如此,只能找一找xss了
    先注册账号登录进去看看



    填写的都是虚假信息,请勿当真



    进去以后是酱紫,感觉很熟悉,好像之前有过0day奥,好像是在存款的地方,试一波



    提交



    看看xss平台能否收到cookie




    收到了cookie,确定xss存在,下一步登录后台



    此处可以看到,用户其实不少,而且被骗的用户都会被管理员删除账号,导致现在的用户看着很少






    三、寻找上传点 :










    看到有数据库备份,但是发现不可以下载,放弃

    后台找了一圈没有发现上传点,可能是小弟太菜技术不够

    之后问了群里的大佬,大佬说可以做一个flash钓鱼,源码我下载以后,发现做flash钓鱼需要具备三个条件我就果断放弃了




    Flash钓鱼条件:




    1. 一个免费空间
    2. 一个免费域名(域名可以搞一个 www.flashxxx.tk 这种的,可信度比较高)
    3. 一个可以正常上线的马子




    故事结尾:




    虽然到最后钱是不可能追回来了,但是还是能帮一把是一把,把这些信息打包交给经常叔叔咯!








    发表于 2020-9-10 16:09:44
    支持
    使用道具 举报 回复
    这个是Flash的源码

    Flash钓鱼.zip

    89.59 KB, 下载次数: 18, 下载积分: 魔法币 -5

    源码

    使用道具 举报 回复
    发表于 2020-9-11 07:16:00
    兄弟,既然知道是windows服务器了,通过xss打入了管理后台,如果没有上传点,可以试试看有没有root权限的注入点,然后尝试--os-shell操作
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    发表于 2020-9-11 09:07:15
    Sir 7 发表于 2020-9-11 07:16
    兄弟,既然知道是windows服务器了,通过xss打入了管理后台,如果没有上传点,可以试试看有没有root权限的注 ...

    很简单,这个没得注入,我也尝试过很多方法,只不过没写出来而已
    使用道具 举报 回复
    发表于 2020-9-11 09:07:43
    Flash钓鱼是最简单getshell的了
    使用道具 举报 回复
    发表于 2020-9-15 06:27:29
    师傅,0day你最起码得说利用条件还有这是什么系统啊,打xss的地方也不让看清打的是什么
    使用道具 举报 回复
    发表于 2020-9-15 16:01:18
    极致 发表于 2020-9-15 06:27
    师傅,0day你最起码得说利用条件还有这是什么系统啊,打xss的地方也不让看清打的是什么 ...

    建议你去网上搜一下哪个系统的0day,还有图片上可以看到哪个位置存在XSS
    使用道具 举报 回复
    发表于 2020-9-18 14:38:20
    结尾 错别字“经常”
    使用道具 举报 回复
    发表于 2020-9-18 16:15:08
    天恒博彩cms  今年二月在云悉我提交的指纹,云悉平台可查
    微信公众号:黑子的自我拯救
    使用道具 举报 回复
    发表于 2020-9-18 18:30:48
    辛巴安全 发表于 2020-9-18 16:15
    天恒博彩cms  今年二月在云悉我提交的指纹,云悉平台可查

    辛巴大佬也在哈.这个cms好像很早就爆出来了吧
    使用道具 举报 回复
    发表于 3 天前
    GuiDie丶 发表于 2020-9-18 10:30
    辛巴大佬也在哈.这个cms好像很早就爆出来了吧

    是的
    微信公众号:黑子的自我拯救
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册