摘要:
拿到目标站这个页面还没开始就已经准备放弃然后咱看右上角有个积分商城,心如死灰的我点进去看到这个页面直接摔门出去抽烟十分钟[别问为什么一问就是之前没搞成开始信息收集吧拿到这个积分商城把域名放进fofa得到真实ip以后找到了宝塔后台登录面板然后用域名/ip对目录进行扫描[御剑超大字典那款]看着语言栏勾选 阅读全文
摘要:
前言 喜欢看电影但又喜欢白嫖,所以经常在一些影视站点观看,偶尔会弹出一些色懒广告,最近公众号也没怎么更新就顺手找到一个色懒约P的广告试试由于尺度比较大打码比较严重简单总结色懒视频 引用外部x站的播放源 2.选X 后台都是城市和百度的照片乱七八糟的介绍,假的 3.预约 菠菜游戏,通过诱导方式引导下注 阅读全文
摘要:
0x00 前言闲着无聊,网上随便找了一个菠菜进行简单测试,并做笔记记录,大佬们轻喷,有什么不足之处请指教。0x01 弱口令访问网站就是一个登录页面,没有验证码直接bp开启,成功爆出弱口令admin/123456,直接进入后台。0x02 注入拿下权限翻看了很多功能点,在一处功能点发现上传接口,并尝试上 阅读全文
摘要:
1、偶然间发现一个菠菜站点,遂测试一番,思路如下:既然是菠菜站,肯定会让用户注册,否则怎么收钱了?注册这种和用户强交互的页面,可能存在的漏洞如下:sql注入:用户输入的账号信息,如果不经过滤直接用来写入或查询数据库,肯定存在sql注入xss:在输入框输入的个人信息,大概率会被展示在用户的页面;同时管 阅读全文
摘要:
今天在浏览网页时突然发现了一个菠菜站,网站截图我就不发了都说菠菜站做的比较安全不容易渗透,今天闲来无事就搞了一下。结果只是扫一下端口我的ip都被ban了。这就有点难过了,只能挂代理再看看。浏览发现这个站应该不是菠菜主站,而是类似一个办理各种活动的旁站。并且在其中一个活动弹窗中发现了惊喜这里居然可以上 阅读全文
摘要:
无意间发现一个thinkphp的菠菜站,最近tp不是刚好有个漏洞吗?然后就顺手测试了一下,但过程并不太顺利,不过最后还是拿下了,所以特发此文分享下思路。0x00 一键getshell简单看了下,应该有不少人玩吧?正好前几天写了个测试工具,先掏出来测试一发。工具显示存在漏洞一键getshell,看起来 阅读全文
摘要:
信息收集 正准备开干,有人企鹅私聊我让我跟他赚大钱。 群发也就算了,都开始私聊了,现在不法分子猖狂到什么地步了,这能惯着它。。。京东卡先放放,打开前台是个博彩论坛。 随手一个login,后台出来了,网站是php的,常用口令试了几次,admin存在,密码错误。 放在云悉上看一下。 访问一下子域名,很僵 阅读全文