0x01 前言🔒
2023年8月,做了一个静态版的ThinkPHP 404 Debug蜜罐,感觉还有增强的空间,于是2024年的今天404蜜罐2.0高交互版,新鲜出炉!
0x02 简介+使用方法📖
本次是在旧版上加了一些交互,不熟悉的朋友可以看一下旧版本
点击进入:👉404蜜罐全新玩法👈
使用:将文件拖入根目录,然后配404定向地址(宝塔为例)
0x03 更新-路由跟随🐍
0x04 更新-域名自适应🌍
不管放在什么域名,都可以自适应,无需手动修改 适合多域名环境
0x05 更新-UA自适应 🌍
0x06 重点更新!高交互PHPinfo 🌍
环境模拟:攻击者发现是低版本ThinkPHP 准备用payload揍一下
于是... ...
GET大法:
POST大法:
其中PHPinfo 同样加入了 路径自适应 IP自适应 UA自适应等功能
0x07 结束语🍻
当攻击者第一次发debug现泄露的数据库账号密码的时候,他很兴奋
当攻击者第二次发现TP版本很低可以rce的时候,他更兴奋了
当攻击者第三次发现用payload打phpinfo回显的时候,他爽到了
0x08 演示+源码🕛
演示:https://sbbbb.cn/
蓝奏云:https://0x001.lanzn.com/i2MRA1ktf0ub
原文始发于微信公众号(安全社):404蜜罐2.0高交互版
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论