我正準備過著差不多的夜生活,收到一個我同學差不多的信息,說是絕地求生差不多的活動,我作為一個差不多的偽白帽,我關了那個差不多的窗口,But,作為他差不多的同學,我點了那差不多的釣魚,又玩起了那差不多的套路,skrskr
前言
我是差不多先生,作為一個不打遊戲的人來說,遊戲帶來不了多大的快感….
我過著差不多的日子,吹著差不多的牛逼,寫著差不多的代碼,有著差不多的朋友圈,花著差不多的閒錢,差不多的又過了一天,skrskr
我正準備過著差不多的夜生活,收到一個我同學差不多的信息,說是絕地求生差不多的活動,我作為一個差不多的偽白帽,我關了那個差不多的窗口,But,作為他差不多的同學,我點了那差不多的釣魚,又玩起了那差不多的套路,skrskr
正文
打開那個短網址http://dwz.cn/O*****Mm,跳轉到了一個域名上http://www.**qq.com/
首先,先來一波差不多的信息收集,對,沒錯,我先查了他的whois,很幸運,他沒有開啟隱私保護,他的姓名,吳*財(從名字就可以看出來,很缺錢),郵箱:2******[email][email protected][/email]
有木有CDN,驗證一波??香港服務器….這種非法站,用香港的很正常….
端口開放檢測
目錄掃描,找一波後臺,cool,找到了後臺,
其他的文件卵用都沒有,所以,只好從後臺下手了/*admin/index.php
看他這個後臺,我心裡活動是這樣的
看到了客服的qq,就是之前whois上的那個qq:2*****22
我慌了,POST注入嘗試一波
不存在注入??XSS盲打走一波,把能插的地方,全插一遍
What??應該是有差不多的安全軟件在網站上
但是我不好受,我也不能讓他好受,所以,上Python
在登錄處,我發現,只要是數字就行
Burp抓包,發現就3個參數u,p,bianhao
所以,我用Python生成一堆隨機的qq號跟密碼,然後利用requests來循環 POST 垃圾數據到對方的服務器,讓他也找不到哪個是真的號,哪個是假的,啊哈哈哈
好了,想不到了,決定去看中國新說唱,讓我炸起來,skrskr
啊哈哈,突然想到了,備份文件…..
站長可能沒有刪備份文件,於是我換了一個掃這個的字典,又是一波亂掃
這就很cool了,下載了這個data.zip發現裡面竟然是install.sql
打開,翻翻數據
Md5解密
密碼coolboy,臥槽,Are you kidding me??
額,好吧,找到safecode了,而且沒有加密,開心
啊哈哈,這個safecode我第一眼看,身份證號,但是數了一下,14位,不夠
352**020***527
不管了,先登錄了後臺再說
除了我批量提交的100000條,至多有73名受害者,不算太多….
批量提交的效果是這樣的
數據太多了,涉及其他受害者的隱私,所以其他的我就不截圖了…
看他沒導出數據,所以接下來做的就是立馬刪除數據
準備修改密碼的時候,發現
坑逼,改不了密碼,臥槽,心態崩了
既然改不了密碼,那行吧,我認了..想辦法,getshell
沒有上傳的地方,任意執行啥的也搞不到…
想到了3306,21端口還沒有用到
3306貌似不允許遠程連接,放棄
21端口,FTP服務走一波
用字典生成,生成了一波很差不多的用戶名,很差不多的密碼
用戶名就是ftp加qq號
密碼就是他名字簡稱加那個safecode
定位,必須定位一波!!
所以,我又用了阿釉的方法
把xss代碼插到了後臺那
加他qq,瞭解一波,並開始一波套路
空間關閉,百度qq號,只有一些網站類似這樣的黑頁…
說實話,我覺得這html寫的還沒有txt好看,啊哈哈
開始套路他登錄後臺
現在的年輕人真的是,可以,很牛逼,上來就是打技術
然後打到了,現在的人真的是離不開手機了…
丟到經緯度查詢的地方
定位到了這
福建省寧德市**區****村
過了一會,他又來找我了,真的是年少輕狂
氣炸了,寫黑頁,掛上去,臥槽,這種人必須教訓
我忽然有了一個很大膽的猜測,我懷疑啊,
他的safecode就是身份證的前14位
我既然知道他的姓名,所以來一波爆破,我用了Crazyman_Army表哥的接口
前14位+從0000到9999,驗證與名字是否符合,符合就返回,於是我寫了一個python程序,這個接口較敏感,就不公開了
爆破了出來,太cool了
接著,去查身份證照片
臥槽,簡直是完美了,接下來,我要找個最炫的黑頁,去裝逼,啊哈哈哈
等不到空格表哥炫酷炫到超過最炫民族風的黑頁了,只好用這個了
另外把服務器上其他的東西刪了,再掛上黑頁
去教育一下這個小黑客吧
這態度轉變的,臥槽,簡直就是720度托馬斯全旋
反思與總結
小黑客,不公佈啥信息了,我還是有著peace and love的,作為祖國的一棵綠蘿,我還是得好好的保護未來祖國的花朵的,啊哈哈哈
大家在互聯網上行走,還是要做好自己的個人信息保護..最好不要用同一套密碼,不要把自己的隱私數據(身份證號之類的)放在互聯網上
作者:阿甫哥哥
原文來自:https://bbs.ichunqiu.com/thread-43500-1-1.html