由于公众号创立者及管理者学业工作繁忙导致公众号好久未更新首先说声抱歉!(he tui 其实就是懒的更新小声bb)
正文开始
自从国内疫情期间到现在为止是国内裸聊诈骗的高发期。这段期间有不少人被诈骗 勒索。
最近我便遇到一起
先来看看这些人渣的嚣张气焰。
好家伙警察奈何不了你?你咋这么嚣张。
恶人自有天收。
如果遇到这种情况 切记 千万不要打钱 打了钱就会是一个无底洞,他们一环套一环就等着人上钩呢。
接着我找他拿到了那个手机app
打开是这样
它会请求获取访问你的相册通讯录
之后它将会将数据上传到后台服务器
我用抓包工具抓取到了网站地址
找到后台地址后
紧接着来了一拨弱口令
没想到密码居然是*******
我便进入了后台
可以看到有六千多个用户
通讯录有百万
真不知道到底有多少人被诈骗到了钱
在后台功能里面找到
红线处是它的功能区
可以看到有 在线定位 获取下载通讯录的权限
我在网站设置找到一处图片上传点
然后我打开了 burp
成功上传一句话
不得说 这种网站防护 ......
中国蚁剑 成功连接
我太菜了 至此完成
感谢有各位大佬打前站的文章借鉴。
感谢生活在水深火热中的男人 辛巴大佬的帮助
当你在凝望深渊同时,深渊也在凝望着你!
终有一天恶人将会受到审判!!!
原文始发于微信公众号(G23安全实验室):对某 “裸聊 ”app后台的一次渗透!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论