网站域名:www.xxx.com
网站端口:80 443 8888
中间人:Apache
脚本语言:PHP
Top1:
打开网站注册账户 实名认证处存在xss漏洞
Top2:存在测试账号 未删除
使用默认密码123456 可以抓包构造字典达到爆破账户作用
Top3:文件管理后门
上传一句话后门 连接webshell
我这里就不麻烦用小马了 我直接大马开冲
上传的路径为文件夹的绝对路径 访问即可
连接数据库查看管理员账号密码 登录后台看看
进一步的渗透 神奇的发现 我可以进行跨目录 跨到宝塔的管理目录里面去
找到了宝塔的账号密码登录面板看看
查看了ip登录地址发现是福建人 数据库已打包 并报送给网警 打击网络黑产从我做起!
感谢您的观看
原文始发于微信公众号(起飞安全团队):某平台区块链虚拟币的代码审计
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论