一个邀请码引出来的故事

  • A+
所属分类:安全文章
一个邀请码引出来的故事
亲爱的,关注我吧
一个邀请码引出来的故事

9/2

文章共计500个词

今天的内容很短,但是很有信息量哦

和我一起阅读吧


作者:桑葚

来源:HACK学习呀

*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。



起因:朋友发了一个网站给我,说注册需要邀请码,问我能不能白嫖。

一个邀请码引出来的故事

我打开了这个网站,页面返回如下:

一个邀请码引出来的故事


点击注册,提示让我们输入邀请码:

一个邀请码引出来的故事

打开了购买邀请码的网站:

一个邀请码引出来的故事



看着有点眼熟,试着在后面增加了一个/admin,成功跳转来到了后台。


一个邀请码引出来的故事


看到这个后台感觉很熟悉,想起团队皮蛋哥搞过的一个发卡网平台。循着他的思路,然后打开burp,抓包测试。


一个邀请码引出来的故事



可以看到,密码重置成功。成功来到后台。


一个邀请码引出来的故事


在后台,发现了一个可以修改首页logo的地方。

一个邀请码引出来的故事



一个邀请码引出来的故事


成功getshell。

一个邀请码引出来的故事


Disabled_functions绕不过,没有继续深入。


接着,本着好奇心里,我通过站长工具查询一下他的域名信息,好家伙,查出了一些其他的信息。

一个邀请码引出来的故事


一个邀请码引出来的故事


通过同一备案域名,来到了他的其他业务网站。


一个搞外挂辅助的网站:

一个邀请码引出来的故事


以及一个代刷网站:


一个邀请码引出来的故事



收集了一波子域名,弱口令进了一个代刷平台,结果只是一个下家,还存在着其他这样的下家,内心卧槽。

一个邀请码引出来的故事


这个网站同样在网站logo处,可以上传shell。


继续深入收集信息。

一个邀请码引出来的故事

一个邀请码引出来的故事

就得到了他的邮箱配置和密码和QQ。由于时间来不及,没有继续深入下去了,算是闲暇的时候的一段小插曲吧。


9/2

期待有才能的你给我们投稿

投稿细则请点下方链接

一个邀请码引出来的故事一个邀请码引出来的故事一个邀请码引出来的故事

想投稿的小伙伴们点我吧

一个邀请码引出来的故事
“阅读原文”我们一起进步

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: