用户
搜索
  • TA的每日心情

    2018-11-8 20:48
  • 签到天数: 15 天

    连续签到: 1 天

    [LV.4]经常看看II

    安全团队

    www.hackjie.com

    Rank: 7Rank: 7Rank: 7

    3

    主题

    92

    帖子

    288

    魔法币
    收听
    1
    粉丝
    0
    注册时间
    2016-5-25

    安全团队

    发表于 2021-1-27 14:38:10 99112
    天大地大,爆破最大,本着爆破吃一辈子的心又有了一丝悸动。
    于是我开始了一天的测试环节。
    在无尽的信息收集过程中,发现一个后台系统,心情顿时开心起来了。因为我的爆破又能派上用场了!

    11.png
    抓取数据包,开始了一天兴奋的爆破环节
    22.png
    但是,突然发现一个问题,就是该爆破点存在验证码,还是不可绕过的验证码。
    唉,除了爆破其他的什么也不想干!但是,该干还得干。
    于是,一个喜欢爆破的同学,最终还是屈服于注入。
    不跑不知道,一跑吓一跳!!
    33.png
    惊喜的意外发现哦,于是便一顿火花带闪电的!
    44.png
    55.png
    66.png
    为了保住我弱口令选手的名号,我坚持不会去(os-shell)去通过注入拿到权限(当然,有可能也拿不到,哈哈哈哈)
    尴尬的是md5解密发现解密不出来,但是通过分析密码规则和可解密出的密码。发现都是统一密码,嘿嘿嘿!
    77.png
    找到上传点
    88.png 因为,注入都没有WAF拦截。所以,随便传就完事了,直接上传图片马修改后缀就完事了。只希望不是白名单!
    99.png
    返回出路径!!哈哈
    1010.png
    直接连就完事了
    1111.png
    欢迎交流
    哈哈哈哈
    想一起学习的同学,微信公众号搜索黑客街 !
    最后祝同学们,开心学习每一天!
    加油加油加油!




    https://www.hackjie.com
    发表于 2021-1-27 19:05:12
    蚁剑和菜刀哪个更好用?
    使用道具 举报 回复
    这个注入是直接sqlmap -r的嘛
    使用道具 举报 回复
    发表于 2021-1-27 19:19:53
    能讲讲密码分析的思路吗
    使用道具 举报 回复
    至少密码还是做了最后的倔强,不是明文密码,某商场的数据库密码都是明文。。。
    使用道具 举报 回复
    发表于 2021-1-28 18:13:48
    Minging 发表于 2021-1-27 11:05
    蚁剑和菜刀哪个更好用?

    适合自己的都好用
    https://www.hackjie.com
    使用道具 举报 回复
    发表于 2021-1-28 18:13:58
    白帽子是假的 发表于 2021-1-28 07:57
    至少密码还是做了最后的倔强,不是明文密码,某商场的数据库密码都是明文。。。 ...

    哈哈哈哈哈,那必须的
    https://www.hackjie.com
    使用道具 举报 回复
    发表于 2021-1-28 18:14:21
    Gebi51 发表于 2021-1-27 11:19
    能讲讲密码分析的思路吗

    没问题的,看微信公众号。都会同步到微信公众号
    https://www.hackjie.com
    使用道具 举报 回复
    发表于 2021-1-28 18:41:04
    虽然技术含量很低,但是还是鼓励一下
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    发表于 2021-1-29 11:04:59
    Sir 7 发表于 2021-1-28 10:41
    虽然技术含量很低,但是还是鼓励一下

    哈哈哈,运气好,没办法
    https://www.hackjie.com
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册