网站现在打不开,总是就是低价买平台的东西,然后再在平台卖出去,赚取中间的佣金。
这不妥妥的洗钱吗? 话不多说,小赞一点。
Ps:图片有点多,有点啰嗦
工具:Burp Suite
1. 首先Burp Suite的界面设置代{过}{滤}理
Burp代{过}{滤}理.png (137.6 KB, 下载次数: 0)
下载附件
2023-5-31 14:37 上传
2.给浏览器设置代{过}{滤}理,让Burp可以抓包(这边使用的是Firefox)
如果需要证书,自己百度配置一下
浏览器代{过}{滤}理.png (118.76 KB, 下载次数: 0)
下载附件
2023-5-31 14:38 上传
3.开启抓后台登陆数据。
我提前用御剑扫了后台登陆网页,所以扫描后台这步省略
登录.png (174.85 KB, 下载次数: 0)
下载附件
后台登陆
2023-5-31 14:41 上传
4.把抓到的数据发送到爆破参数界面
发送.png (456.1 KB, 下载次数: 0)
下载附件
2023-5-31 14:47 上传
5.抓到的数据清除一下参数
清除.png (137.8 KB, 下载次数: 0)
下载附件
2023-5-31 14:43 上传
6.设置一下主要爆破参数
这里有点运气成分,我猜疑的admin是账户,所以只爆破了密码
添加.png (144.97 KB, 下载次数: 0)
下载附件
2023-5-31 14:43 上传
7.去payloads加载一下字典,主要用来猜测密码,具体字典可以去Github找
密码.png (124.72 KB, 下载次数: 0)
下载附件
密码加载
2023-5-31 14:51 上传
加载密码.png (171.24 KB, 下载次数: 0)
下载附件
加载字典
2023-5-31 14:45 上传
8.开始爆破
攻击.png (122.71 KB, 下载次数: 0)
下载附件
2023-5-31 14:45 上传
9.查看爆破数据,
[color=]Length
的长度判断,
破解成功.png (222.34 KB, 下载次数: 0)
下载附件
2023-5-31 14:48 上传
至此,可以说运气还不错,爆破出来了密码,
从参数看出,账户为admin,密码为123456a
[color=]Ps:大家不要设置弱口令密码
10.登陆后台,查找有用信息
后台界面.png (143.27 KB, 下载次数: 0)
下载附件
后台界面
2023-5-31 15:00 上传
11.部分数据查看
记录了对方的阿里云oss
证据1.png (187.65 KB, 下载次数: 0)
下载附件
阿里云oss
2023-5-31 14:54 上传
12.交易记录
大约2554*20=51080条记录,洗的钱应该不少,可望不可及
记录.png (308.34 KB, 下载次数: 0)
下载附件
交易记录
2023-5-31 14:55 上传
13.开启后台登陆日志,查看后台访问IP
开启日志.png (236.55 KB, 下载次数: 0)
下载附件
开启日志
2023-5-31 14:55 上传
14.后台日志记录
这一步我就不传图片了,大致国内 IP都在河北 附近。
15.至此,结束,只能说本次爆破运气成分占据99%,因为弱口令密码很简单就才出来。
