本文章仅用于分享信息安全防御技术,请遵守中华人民共和国相关法律法规,禁止进行任何违法犯罪行为。作者不承担因他人滥用本文所导致的任何法律责任。本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失,本安全公众号和原文章作者不承担任何责任。如果出现任何后果,请使用者自行承担。如果有侵权行为,请告知我们,我们将立即删除并致以道歉。谢谢!
各位师傅好,最近拿了一个色敲的网站 然后用了点技术手段拿到了他的后台 首先我们来看前端
现在看后台目前知道,该站点的/admin目录是色播的后台,以及还有一个/admin.php是彩虹外链网盘v4.0尝试一下使用万能密码123'or'1='1,虽然这玩意有时候可以有时候不可以
提示我丢,登陆成功了,激动的心颤抖的手,点击确定之后,又返回了主页面(内心一万个草泥马在奔腾)感觉很奇怪,有点像是登录接口被修改了,或者被过滤字符也有可能尝试一下弱口令爆破,经典的admin&admin@123,还是显示登录成功,可能真的登录接口被改了
算了,这个先放着,去看看彩虹外链网盘,我记得这玩意好像有披露漏洞出来,将这个/list.php?act=view&name=../config.php简单做一下拼接
然后我们一不小心就得到了数据库账密以及彩虹外链网盘的后台密码
当然了有想报网络安全班的师傅请加我哦 目前有优惠 欢迎各位师傅咨询
原文始发于微信公众号(craxpro安全实验室):实战渗透裸聊敲诈诈骗网站
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3880845.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论