玩手机到深夜正准备睡觉,看到某个群内消息说有福利资金可以领取,顺手看了一下天上掉的什么“馅饼(陷阱)”。
文案和底下的图看起来一眼假,但是很多中老年人还是比较缺乏安全意识,上当的概率还是很大的。
解码后发现是个微信钓鱼的界面,要求用户输入手机号、密码并且还会收到一个验证码并填写,可能是结合一些微信的逻辑漏洞进行了一些违法操作。
对网站进行目录扫描,发现存在/admin/home.php
访问时提示未登录,跳转到/admin/l0gin.php
暴力破解无果,对登录的过程抓包,丢到SQLMAP里面发现存在Mysql注入
POST /admin/action.php?action=login HTTP/1.1
Host: *.art
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 29
Origin: http://y7z8m9.gival.shop
Connection: keep-alive
Referer: http://*.shop/admin/juc.php
Cookie: mba_deviceid=b5ec33c5-c7b4-575f-cbdf-7e33de5d0caa; mba_sessionid=7a3a155f-f1cb-e24f-9902-9c72f52f34c1; mba_last_action_time=1669845250674; anuncioOpenID=0F22656F-FEB8-4E7A-93F8-4D3728328DCF; PHPSESSID=80uhf6b2stvmqgvd0m0384fdi6
Upgrade-Insecure-Requests: 1
username=admin&password=admin
可惜没有写入权限,无法直接Getshell,对数据库进行浏览,找到管理员的账号密码
MD5解密拿到明文密码
登录后台
网站太简单了,没有任何上传、下载功能,也就停步到这了。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...