前言
这几天在A市和B市奔波着,眼瞅着自己就要毕业了,必须得出来找份工作了。
和小伙伴在A市兜兜转转了几天,要不就是不合适没下文,要不就是给了offer,工资是在太低。心很累,然后就下B市了,看看B市还有没有一线生机。
(这篇文章是本人在面试的前一天,在B市某个咖啡馆写的,当时没有面试,在B市晃荡了一天,到最后只能在咖啡馆写文章了。直至今天重新写这篇文章时,网站已经不能访问了。)
网上冲浪?
和小伙伴合开了个房,晚上闲来无事,突发奇想就想着搜搜H的直播看看?(现在直播行业那么火,我们来看看小姐姐)
却误入了个萝莉吧?(首页图片很H这里就不放了)
想了想,首页这么暴露,必有诈。这种网站惯用套路就是注册需要转发链接,骗流量。还有就是骗钱,看个视频充个Vip之类的。
信息收集
本着为民除害(搞事情)的心态,我开始了拿站之旅。其实刚开始都没有收集什么信息,凭直觉我就随手测试了一下解析漏洞。(这里又有一个坑,因为之前认真复习了解析漏洞,从漏洞原理认真理解了一遍,也发现了一些东西。想写篇文章一直没写。先占个坑~)
论坛的一些信息:dicuz论坛,nginx解析。
测试robots.txt正常,测试robots.txt/1.php返回不正常。
对比之处在于robots.txt返回的content-type:text/plain,
而robots.txt/1.php的content-type:text/html。
(过去了好久了,现在这个网站已经不能访问了。)
接下来就是找到一个上传点就好了。
先注册个账号,上传图像试试,发现图像是放在阿里的图床的,不放在服务器上面。
后来在测试发帖的时候成功上传图片马。拿到shell。
之后就是各种浏览了。
然后我发现进去之后浏览帖子,还要充钱?vip 99,超级vip,199?
找了个超级vip的账号。
然后我就笑了。
为什么会这样呢?然后我看了一下所谓的H视频
就tm标题出骨一点,其实就是街头的一些跟拍而已。
然后我又看一下vip,和超级vip的人数:
也是有一百多号的水鱼啊!!
笑死~
网上那么多免费资源你不看,偏要给钱人家??想不懂!!
还有这个网站的管理员发表的所谓声明。。。
哎呀,厉害了。
网站上不去,估计是被人举报,网警叔叔干事了。
看看域名信息(不打码)
反查看看,389条记录,这么多垃圾域名。细极思恐~~
最后
还请网警叔叔加大力度,打击这些虚晃的黄网,拯救我国广大的花季少年啊!!
本篇文章没有什么技术含量,仅作为记录。(对了,网警叔叔这个就不要查水表了。)
推荐阅读:
▶【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)
▶【渗透实战系列】|17-巧用fofa对目标网站进行getshell
▶【渗透实战系列】|15-博彩网站(APP)渗透的常见切入点
▶【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局
▶【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)
▶【渗透实战系列】|9-对境外网站开展的一次web渗透实战测试(非常详细,适合打战练手)
▶【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)
▶【渗透实战系列】|6- BC杀猪盘渗透一条龙(文末附【渗透实战系列】其他文章链接)
▶【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)
点分享
点收藏
点点赞
点在看
本文始发于微信公众号(Hacking黑白红):【渗透实战系列】20-渗透直播网站
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论