某日清晨,还在熟睡中的我就被微信铃声吵醒。哦~原来是npy发来的消息,打开一看映入眼帘的是一些不知名但很受年轻人喜爱的“涩涩”小游戏。
只听见扑通扑通的心跳,心想难道她要跟我玩这个游戏嘛?
点开一看哦哟还要关注 “一起玩,才刺激!”
初探发现都是各种“玩法”,你能想到的它都有,你想不到的它也有。
选了一个比较适合我们的,咦?还要花钱开会员?
这是在挑战我“肾透支工程师”的身份嘛?
随即注册了一个号,看来看后台,功能点还不少有的玩。
emmm,终于在某处功能点上传文件没有限制,这不免费的会员在向我招手。
传了个哈啰我的试试水成功解析,此刻还瞒着喜悦的心情没有告诉她,离它越来越近了。
哥斯拉预备给我冲,习惯whoami,不出意外www权限。
我的目的是免费的会员,只要不影响我看文件就先不管。
寻找我的目标database.php。
还是熟悉又陌生的username&password。
在库中找到顺滑y后,拿链接丢网页访问,加了个/app后缀后就直接跳到后台了,一切都是那么丝滑。
注入后,直接来到后台看到的都是一些x词语玩法。
我的目标是冲着最顶点的会员去的。
找到了自己的id,xx少女(性感不性感),到这里就不继续往下写了,接下来的事各位看官肯定懂拉,一手永久高级会员摆在npy面前,晚上就过上了没羞没臊的生活。
原文始发于微信公众号(众亦信安):记一次对涩涩游戏的渗透历程
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论