为救赌徒攻破博彩网站数据库

  • A+
所属分类:安全文章

哈喽大家好,我是城南。

‘你会查人吗?我被搞了’

‘网站卡我提现

两个月前,两个故友找到我说他们被骗了,我便带着疑惑与好奇对整个事件展开调查……

他们两人在同一天内的不同时间点找到我告诉我说他们被同一个网站卡了提现。

很明显他们被杀鱼了,那么何为杀鱼盘?杀鱼盘与杀猪盘大体相同,通常以工作室形式出现,遍布城市的各个黑暗的角落终年不见天日,而他们脸上的面具早已无法摘下随着皮肤嵌进肉里。

统一的话术作为圈子内的基本手段,再以独特的管理方式形成一个闭环,绝大多数赌徒在毫不知情的情况下掉入谷底无法自拔。

甚至不惜一切代价,最后闹的妻离子散家破人亡,正是因为这群人对人性弱点的发掘到了极致。

来看下面一条数据,他们十几天的盈利是普通家庭十几年所奋斗的积蓄,所有的赔率都是可控,你以为你会赚的盆满体钵,但那仅仅只是你以为。

杀鱼杀到家门口使我坐立难安,通过网站链接做信息收集…

前台Ul美化的很到位,但画面风格略显粗鄙,散发着诱人的气息与无处安放的魅力,查DNS,ping主机双管齐下

无DNS禁ping属于意料之中,接着查指纹框架,摸透服务器轮廓。

我在挖洞过程中不断改变思路,时常社工与渗透配合使用达到事半功倍的效果,简单分析信息不难发现他们幕后的用心,运营时间达到了三年之久,接着往下…

我把收集来的数据整理了一下,分析每个环节的漏洞点,从系统到web一个不漏,渗透开始…

浏览平台花了几个小时找到留言处存在xss漏洞,插代码直接利用漏洞打ck

利用xss语句闭合html标签,成功打了上去,弄完我就关了电脑出去玩了,这是一个焦急的等待过程,更是无比期待的。

而后我用御剑扫到了其后台登录地址,后期可以做爆破或者信息收集然后再撞库。

晚上回来带着无比激动的心情看了下xss平台,成功打到ck保存放到电脑上

由于无法确定管理员是否在线,贸然进入可能会被发现,保险起见我选择等到凌晨两点利用打回来的CK进去。

恍恍惚惚到了凌晨我打开ck利用工具,把管理员数据粘贴了进去,点击登录按钮直接登进了后台。

由于是小型杀鱼平台出款盈利相对较小,但这并不是令他们猖狂的理由。找到对应卡提现的位置,给他们一一放了款。

粗略的浏览了一下后台发现管理员头像处可getshell,而后截断绕过直接拿shell,在其根目录下翻到了数据库配置信息。

扫了一下端口发现3306在开着,拿着配置信息直接访问web界面登录进去,其数据不堪入目。

而后在数据库表项留了个后门,以防管理被踢下线,脱裤,取证一气呵成,到这已经是早上六点多了,整理之后便睡去了。

本想再提权拿下服务器,无奈到这就已经很敏感了,也就没再继续往下了,而后把整站的数据打包发给网安,第二天再访问其首页已经打不开了。

劝赌,我又能说些什么?转身看看家人吧。

我是城南,一个热爱生活的少年。

本文始发于微信公众号(攻防笔记):为救赌徒攻破博彩网站数据库

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: