实战渗透某大型彩票赌博网站以及产业链分析

admin
admin
admin
145295
文章
119
评论
2025年5月30日13:20:30评论35 views字数 2267阅读7分33秒阅读模式

实战渗透某大型彩票赌博网站以及产业链分析

首先带各位师傅看渗透过程 第二章为产业链分析

1.网站前台

实战渗透某大型彩票赌博网站以及产业链分析
首先抓包 用小黄鸟抓包分析,看有无一些后台的信息。发现一个siteConfig.do请求
实战渗透某大型彩票赌博网站以及产业链分析
浏览器看一下发现客服系统后台管理系统
实战渗透某大型彩票赌博网站以及产业链分析
但是进行访问发现无法访问   于是把ip放到搜素引擎里看看有没有其他服务,最后发现20000端口
实战渗透某大型彩票赌博网站以及产业链分析
实战渗透某大型彩票赌博网站以及产业链分析
后面用fofa查找一下他的相关客服系统资产 以及指纹等信息
实战渗透某大型彩票赌博网站以及产业链分析
还是老样子先试一下弱口令漏洞 (毕竟这么大的盘子不可能存在弱口令),但是还是试一下 万一幸运女神眷恋咱呢  但是发现不存在弱口令  后面发现他存在越权漏洞,但是看不到里面的内容
实战渗透某大型彩票赌博网站以及产业链分析
用awvs扫一下发现actuator泄露
实战渗透某大型彩票赌博网站以及产业链分析
于是用springscan扫一下有哪些文件泄露,发现泄露了env文件,看一下
实战渗透某大型彩票赌博网站以及产业链分析
实战渗透某大型彩票赌博网站以及产业链分析
看一下有没有泄露heapdump文件,发现可以直接下载heapdump文件,这样就可以找env文件中被遮蔽的密码了。
实战渗透某大型彩票赌博网站以及产业链分析
利用heapdump_tool工具对heapdump文件进行敏感信息提取,发现了泄露了上面env文件中配置属性对应的账号密码。
实战渗透某大型彩票赌博网站以及产业链分析
先试第一个,spring.datasource.druid.stat-view-servlet.enabled,这个应该是druid monitor后台的配置属性。于是拼接路径
实战渗透某大型彩票赌博网站以及产业链分析
在这里不知道为什么点击signin没反应,抓包也抓不到,控制台也看不到包。Fofa找一下相同的站。看一下登录数据包长什么样子
实战渗透某大型彩票赌博网站以及产业链分析
实战渗透某大型彩票赌博网站以及产业链分析
直接把host和接口换成本站的就可以了。发现登录成功
实战渗透某大型彩票赌博网站以及产业链分析
响应包里有cookie,我们直接把cookie搞到我们本地然后直接访问后台就可以了
实战渗透某大型彩票赌博网站以及产业链分析
从js源码可以看到登录成功后会跳转到index.html
实战渗透某大型彩票赌博网站以及产业链分析
我们直接进行访问,查看后台后台就不截图了,没有什么比较敏感的信息

后面试试爆出来的数据库的密码。一个mysql,一个redis。用navicat连一下发现连不上。应该是端口没有对外开放。扫描了端口也没有发现其他的端口开放后续可以看看这个站有没有对外开放的其他的服务用这个密码撞一下

由于今天太晚渗透测试,先到此结束

后面推荐一个公众号师傅edu咔咔牛逼 可以关注一下
实战渗透某大型彩票赌博网站以及产业链分析

钓鱼佬永不空军!社g之学姐送我“严重”漏洞

2.网络赌博产业链分析 后续内容来自公众号:蛋挞分析
(一)技术支持
      技术支持包括开发类和安全类,开发类包括诸如管理系统、办公系统等各种内部系统开发、服务器的搭建维护、网站APP游戏等程序开发维护。此外,技术团队对网站进行防护,同时也会对同行网站进行攻击,达到获取同行的客户资料、干扰同行业务营运等目的。
(二)推广
      网络赌博平台会投入大量的资源进行推广,来获取客户资源。通过微信微博抖音、短信、电话、视频直播等广告方式推广,通过色情直播进行推广引流也越来越普遍。
(三)运营
      运营作为网络赌博平台实施犯罪的重要组成部分,人员类型较多,有平台财务、客服、资金结算、代理等人员,现在很多网络赌博平台是全民代理,代理往往也是赌客。资金结算部分是比较复杂多样的,资金结算方式分为虚拟币、银行卡、数字人民币、支付宝微信、各类充值卡等,并由此产生了跑分平台、第四方支付平台、地下钱庄等资金结算形式和犯罪团伙。
二、网络赌博犯罪的变化
      近两年网络赌博的犯罪方式有了一些明显的变化,下面从三个方面进行详细说明。
(一)专业化分工更细
      任何产业都会经过粗放式到成熟化的发展过程,网络赌博犯罪产业链发展的已经更加成熟,如视频推广引流犯罪化分工就包括手机卡商、系统开发(改机工具、群控平台、代理IP、接码平台、注册机)、代理、号商等。各个层级专业化强、分工明确,产业链成熟,且上下级间通过匿名软件沟通,相互独立、互不认识,全链条打击难度大。
(二)资金隐匿性更强
网络赌博的资金结算越来越隐匿,银行卡转账中,以赌客对赌客转账进行上下分错配的比例大幅提高,且银行卡转账在整体的资金结算比例中大幅降低,更多的通过虚拟币支付、赌资与合法资金错配(如话费充值)等方式进行,同时,一个网络赌博平台对接多家第四方支付公司,分散资金,资金追踪难度增大。
      此外,很多第四方支付平台搭建虚拟物品购物商城,提供买卖流水记录,即在第四方支付平台的每交易一笔订单,虚拟物品购物商城都会自动生成同等金额及日期的买卖订单,用于解释银行流水,干扰侦查。
(三)规模化更加明显
      大型的网络赌博集团人数可达几千人,部门划分多、岗位分工明确,集团化运营,规模巨大。在挖掘网络赌博产业链中,发现不同网络赌博平台外部的技术支持、推广引流、资金结算团伙的重合度高,已形成头部的犯罪团伙。
三、触犯的法律法规
      网络赌博平台金主、财务、客服、技术、代理涉嫌开设赌场罪。为赌博平台提供技术支持、资金结算、广告推广等人员属于开设赌场罪的共同犯罪。技术支持人员还可能涉嫌非法获取计算机信息系统数据、非法控制计算机信息系统罪、破坏计算机信息系统罪、帮助信息网络犯罪活动罪。推广人员还可能涉嫌帮助信息网络犯罪活动罪、非法利用信息网络罪、传播淫秽物品罪、引诱、容留、介绍卖淫罪。资金结算人员还可能涉嫌非法经营罪、帮助信息网络犯罪活动罪、掩饰、隐瞒犯罪所得、犯罪所得收益罪。
四、结语
      随着犯罪手法不断变化、犯罪手段不断升级,需要政府、企业和社会各界共同努力,完善法律法规,强化监管执法,也对我们的研判能力提出了更高的要求,需要我们深入理解各类犯罪方式,不断提高专业能力,与时俱进,不断进步。
最后,如果有想学技术的师傅可以私聊我  

原文始发于微信公众号(craxpro安全实验室):实战渗透某大型彩票赌博网站以及产业链分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月30日13:20:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战渗透某大型彩票赌博网站以及产业链分析https://cn-sec.com/archives/3942013.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息