声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |
宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把李白你好“设为星标”,否则可能就看不到了啦!
0x01 前言
前端时间遇了一个钓鱼盗号的网站,这网站就是一个叫你输QQ号的钓鱼页面,懂得人能看出来一眼假。
地址:http://www.ysrshow.top/?id=1
0x02 开始渗透
对目标分析一波,发现采用的 thinkPHP 3.2.4通过日志得到后台管理员账号密码:
后台地址:http://www.ysrshow.top/admin.php/login/index.html
然而密码过于复杂,解不出啦
我没有 thinkPHP 3.2.4 的 0day ,难道就这么算了?
对网站结构进行一波手工测试,发现登陆处存在注入漏洞
可以构造语句直接登陆,可惜这是前台处的 sql 注入,并不是后台的,后台并没有这个漏洞,所以还是进不去后台。
0x03 数据库截图
总共才 10 条数据,根据日期可以判断出他是只储存当天的数据,隔天就删除,不知道是自动删除还是管理员手动删除的。
我对这些 QQ 号并没有什么兴趣,只是想打包他的源码下来分享一波,然技术不够啊,发出来让你们玩吧,另外在钓鱼页面的账号提交处同样存在 SQL 注入漏洞~ 然并卵
0x04 链接获取
文章作者:Mr.Wu
原文链接:https://mrwu.red/web/3295.html
原文始发于微信公众号(李白你好):福利一枚:对钓鱼盗号站渗透
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论