0x00 前言
宝塔现在广泛的被用到不同类型的项目,同时也被BC等违法犯罪黑灰产行业经常使用,今天从一攻一防的角度来总结一下宝塔账号取证和反取证的两个小技巧,内容较为简单,但是问了一圈感觉知道的人不多,所以便有了此文章
0x01 宝塔面板提取手机号
这个小技巧是前几天浏览程序骑士打BC的文章注意到的,使用了此方法进行对嫌疑人进行了溯源
但是文章中没有明确讲出方法,我在这里做出补充:
1.登录宝塔后台(我这里用的是在我自己服务器上搭建的)
打开发现手机号中间四位是打码的
2.点击面板设置
可以看到依然是存在四位星号的,我们打开检查,Ctrl+F搜索【绑定宝塔账号】
发现与手机号相关的是bind-user-info,我们再去接口中找到与bind-user-info相关的接口即可
3.使用网络(network)查找get_user_info查看相应包即可看到手机号明文
0x02 绕过宝塔强制绑定手机号
0x02-1使用Aapanel
Aapanel是宝塔的英文版,无强制绑定手机号,页面为全英文,可搭配Google翻译插件进行使用
URL:https://www.aapanel.com/install.html
安装命令:
Centos/Debian/Fedora
wget -O install.sh <http://www.aapanel.com/script/install-en.sh> && bash install.shUbuntu
wget -O install.sh http://www.aapanel.com/script/install-ubuntu-en.sh && sudo bash install.sh0x02-2 其他方法
1.在shell中运行命令(此方法修改首页js文件来达到禁止弹窗的目的)
sed -i “s|if (bind_user == ‘True’) {|if (bind_user == ‘REMOVED’) {|g” /www/server/panel/BTPanel/static/js/index.js2.修改宝塔的首页文件
3.安装中文版老版本镜像
http://download.bt.cn/install/update/LinuxPanel-5.9.1.zip(目前仍然很多人在用的版本)http://download.bt.cn/install/update/LinuxPanel-7.0.1.ziphttp://download.bt.cn/install/update/LinuxPanel-7.0.2.ziphttp://download.bt.cn/install/update/LinuxPanel-7.0.3.ziphttp://download.bt.cn/install/update/LinuxPanel-7.1.0.ziphttp://download.bt.cn/install/update/LinuxPanel-7.1.1.ziphttp://download.bt.cn/install/update/LinuxPanel-7.2.0.ziphttp://download.bt.cn/install/update/LinuxPanel-7.3.0.ziphttp://download.bt.cn/install/update/LinuxPanel-7.4.0.ziphttp://download.bt.cn/install/update/LinuxPanel-7.4.2.zip (有pma漏洞)http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
扫描二维码关注我们
原文始发于微信公众号(暗影安全):【小技巧】宝塔面板提取手机号&绕过强制登录
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论