对骗子网站的一次安全检测~
2017-04-10 00:41
232 查看
昨天一盆友说,一骗子网站骗了他1000多。
让打那死那个站(asp站),就随手看了看。。。
发现有多个注入点,然后就爆密码...爆了半天,没有爆出来..手工老是出错。唉唉...技术不过关呀。
结果发现有xss.如图:
然后就尝试调用远程js通过xss漏洞来添加管理员。结果没有成功,这可怎么办呢?
在网上查了些资料,还是调用远程js,来获取管理员密码(详细技术细节,不说了,有兴趣的去google)。
唉唉...技术不过关呐...还是失败了。。。
没有办法,只能旁注了。
然后,发现同服下的站点基本都是asp站,当时心中暗喜,有戏!一招商网站出现在眼前,好吧,就拿你开刀!
然后用WebCruiser扫出了多个注入点。
哈哈哈...戏来了。然后载入自家强化的词典,爆密码,没跑多久。出来了,密码是826129,最喜欢数字密码了,嘿嘿、
然后拿起工具找后台...却爆出了会员登录的界面。纠结。。。
看来工具不行啊,动手去看看。于是乎,就浏览网页。发现了这个页面。
管理留言。看见了么?当时心里想,有戏了,管理留言肯定得管理员权限啊,我一游客,哪有权限?一点,绝对会返回到后台登陆界面。果然不出我所料,返回到了后台登陆界面。
欧耶,成功进入。一看权限还不小呢。
仔细瞅了瞅。
好像是动网的上传漏洞。并且还可以远程上传...
哈哈...不出意外,应该马上就成功了。
很顺利,小马大马成功上传。。。顺利拿到了webshell.
mcslj.cn
mrmdc.cn
pzlgq.cn
msmrc.cn
dzwlh.cn
dkdnx.cn
zmqkk.cn
nklrk.cn
qjcwm.cn
hdhnm.cn
qfhry.cn
byxrb.cn
kjmrr.cn
mzkhl.cn
kbgmn.cn
nmzsx.cn
nhxfc.cn
sqgrd.cn
yhqgt.cn
znfjz.cn
yjhrk.cn
dktdq.cn
gcdnb.cn
slskk.cn
nggjn.cn
pglbw.cn
ngylj.cn
gbjlb.cn
hpdrq.cn
lmkfr.cn
dygnp.cn
gllrf.cn
lgkpq.cn
xrtzg.cn
fcxfq.cn
ntktm.cn
rqtql.cn
wlchr.cn
hrwht.cn
chsgl.cn
llwxm.cn
glnlx.cn
qjmym.cn
pnfmk.cn
cjqpb.cn
fyzng.cn
zdcnm.cn
gthzn.cn
hqpcs.cn
nmzkd.cn
lsrqy.cn
yjfrn.cn
fpphq.cn
ybnxj.cn
yqbxq.cn
mzdlg.cn
zpxtq.cn
fllhq.cn
cprzn.cn
clhpb.cn
lkfcc.cn
rzlqf.cn
rszxs.cn
zrrfb.cn
xlzkc.cn
qndtx.cn
yrdxt.cn
bflrx.cn
mznbw.cn
qxcxs.cn
kdrdm.cn
ztybl.cn
hpglb.cn
lqdmg.cn
blpbw.cn
hrkhd.cn
zqbff.cn
ymxxn.cn
hrwys.cn
kzldb.cn
qyhnl.cn
nlrjh.cn
rsjpg.cn
wpmqh.cn
djklw.cn
bxqty.cn
slywz.cn
ktkjq.cn
wqfkq.cn
bftrm.cn
gqybk.cn
rtbwj.cn
gflxz.cn
nzdnl.cn
rwplq.cn
ntgkl.cn
mcdrg.cn
zxqry.cn
bggyr.cn
nqsyn.cn
hxdlg.cn
jbbnn.cn
pbjns.cn
hlzgj.cn
jqbwh.cn
cjsqx.cn
rsdwd.cn
rhcmq.cn
hhkrq.cn
zlnwb.cn
qmszx.cn
gcslr.cn
nlyhn.cn
ftdls.cn
ztmzr.cn
qfqyb.cn
hqxdh.cn
dqhlq.cn
wnqmg.cn
nfnbm.cn
kqlxb.cn
hgklf.cn
rlkjd.cn
dkrhz.cn
rgwhc.cn
dmcdq.cn
rlcqz.cn
gqbfp.cn
lrgtc.cn
prgys.cn
哇塞,权限貌似很大。。。娃哈哈...OK,文章到此为止了。。。
还没吃饭呢,吃饭去了。晚上***,干骗子网站。
没啥技术含量,大牛别见笑!
让打那死那个站(asp站),就随手看了看。。。
发现有多个注入点,然后就爆密码...爆了半天,没有爆出来..手工老是出错。唉唉...技术不过关呀。
结果发现有xss.如图:
然后就尝试调用远程js通过xss漏洞来添加管理员。结果没有成功,这可怎么办呢?
在网上查了些资料,还是调用远程js,来获取管理员密码(详细技术细节,不说了,有兴趣的去google)。
唉唉...技术不过关呐...还是失败了。。。
没有办法,只能旁注了。
然后,发现同服下的站点基本都是asp站,当时心中暗喜,有戏!一招商网站出现在眼前,好吧,就拿你开刀!
然后用WebCruiser扫出了多个注入点。
哈哈哈...戏来了。然后载入自家强化的词典,爆密码,没跑多久。出来了,密码是826129,最喜欢数字密码了,嘿嘿、
然后拿起工具找后台...却爆出了会员登录的界面。纠结。。。
看来工具不行啊,动手去看看。于是乎,就浏览网页。发现了这个页面。
管理留言。看见了么?当时心里想,有戏了,管理留言肯定得管理员权限啊,我一游客,哪有权限?一点,绝对会返回到后台登陆界面。果然不出我所料,返回到了后台登陆界面。
欧耶,成功进入。一看权限还不小呢。
仔细瞅了瞅。
好像是动网的上传漏洞。并且还可以远程上传...
哈哈...不出意外,应该马上就成功了。
很顺利,小马大马成功上传。。。顺利拿到了webshell.
mcslj.cn
mrmdc.cn
pzlgq.cn
msmrc.cn
dzwlh.cn
dkdnx.cn
zmqkk.cn
nklrk.cn
qjcwm.cn
hdhnm.cn
qfhry.cn
byxrb.cn
kjmrr.cn
mzkhl.cn
kbgmn.cn
nmzsx.cn
nhxfc.cn
sqgrd.cn
yhqgt.cn
znfjz.cn
yjhrk.cn
dktdq.cn
gcdnb.cn
slskk.cn
nggjn.cn
pglbw.cn
ngylj.cn
gbjlb.cn
hpdrq.cn
lmkfr.cn
dygnp.cn
gllrf.cn
lgkpq.cn
xrtzg.cn
fcxfq.cn
ntktm.cn
rqtql.cn
wlchr.cn
hrwht.cn
chsgl.cn
llwxm.cn
glnlx.cn
qjmym.cn
pnfmk.cn
cjqpb.cn
fyzng.cn
zdcnm.cn
gthzn.cn
hqpcs.cn
nmzkd.cn
lsrqy.cn
yjfrn.cn
fpphq.cn
ybnxj.cn
yqbxq.cn
mzdlg.cn
zpxtq.cn
fllhq.cn
cprzn.cn
clhpb.cn
lkfcc.cn
rzlqf.cn
rszxs.cn
zrrfb.cn
xlzkc.cn
qndtx.cn
yrdxt.cn
bflrx.cn
mznbw.cn
qxcxs.cn
kdrdm.cn
ztybl.cn
hpglb.cn
lqdmg.cn
blpbw.cn
hrkhd.cn
zqbff.cn
ymxxn.cn
hrwys.cn
kzldb.cn
qyhnl.cn
nlrjh.cn
rsjpg.cn
wpmqh.cn
djklw.cn
bxqty.cn
slywz.cn
ktkjq.cn
wqfkq.cn
bftrm.cn
gqybk.cn
rtbwj.cn
gflxz.cn
nzdnl.cn
rwplq.cn
ntgkl.cn
mcdrg.cn
zxqry.cn
bggyr.cn
nqsyn.cn
hxdlg.cn
jbbnn.cn
pbjns.cn
hlzgj.cn
jqbwh.cn
cjsqx.cn
rsdwd.cn
rhcmq.cn
hhkrq.cn
zlnwb.cn
qmszx.cn
gcslr.cn
nlyhn.cn
ftdls.cn
ztmzr.cn
qfqyb.cn
hqxdh.cn
dqhlq.cn
wnqmg.cn
nfnbm.cn
kqlxb.cn
hgklf.cn
rlkjd.cn
dkrhz.cn
rgwhc.cn
dmcdq.cn
rlcqz.cn
gqbfp.cn
lrgtc.cn
prgys.cn
哇塞,权限貌似很大。。。娃哈哈...OK,文章到此为止了。。。
还没吃饭呢,吃饭去了。晚上***,干骗子网站。
没啥技术含量,大牛别见笑!
相关文章推荐
- 对“攻防实录:对某农业专业网站的一次安全检测”申明
- 对韩国某手表网站的一次偶然安全检测
- 对韩国某手表网站的一次偶然安全检测
- 对某农业专业网站的一次安全检测
- 记一次CMS型校友录的安全检测
- 令人堪忧的网络安全 一次非常规安全检测
- 如何使用Nikto漏洞扫描工具检测网站安全
- 一次曲折的安全检测
- 网站安全检测通用方法
- 推荐几款检测网站及数据库代码安全的工具
- 好用的工具 桂林老兵网站安全检测工具
- 网站在线安全检测介绍
- 网站安全检测软件FreeSecurity1.0
- Nikto漏洞扫描工具检测网站安全
- 如何使用Nikto漏洞扫描工具检测网站安全
- 从一个检测浏览器安全网站获得攻击浏览器的方法……
- 一次曲折的安全检测
- 对Sohu.com的一次安全检测
- 安全检测ASP.net网站实例:用DBO操作数据库以获得信息和数据
- 网站安全检测服务