一个月黑风高的晚上你独自在网上冲浪突然一个陌生女子要求添加好友你第一反应是什么?
更要命的是没聊几句话对方居然要求“裸聊”!
我的天这也太刺激了吧!
于是你备好纸巾脱下裤子大撸一场时
你以为是艳遇找上门结果是一群诈骗分子
话不多说 开始我们今天的裸聊app渗透
图片13.png (52.73 KB, 下载次数: 4)
下载附件
2021-2-8 21:37 上传
对app的渗透当然少不了模拟器了,
打开模拟器抓包一波打开模拟器抓包
找到一个网站地址 哈哈哈 算是一个突破 打开网站看一下
打开发现显示为thinkphp5框架的网站,凭我多年的渗透经验 这绝对不可能就一个网站。尝试寻找他的后台
图片11.png (56.2 KB, 下载次数: 1)
下载附件
2021-2-8 21:36 上传
在url后面输入admin,果然成功跳转到后台
图片10.png (74.21 KB, 下载次数: 2)
下载附件
2021-2-8 21:35 上传
当输入用户名密码的时候可以显示用户名不存在发现这里,验证码无法多次利用爆破不了
图片9.png (31.58 KB, 下载次数: 2)
下载附件
2021-2-8 21:35 上传
这里纠结老半天了,进不去后台。
查看当前网站的真实ip,发现并没有套cdn
利用微步,查看这台服务器下面是否有其他旁站。
图片8.png (37.63 KB, 下载次数: 0)
下载附件
2021-2-8 21:34 上传
打开了其中一个网址发现是也是一个登陆界面
图片7.png (80.7 KB, 下载次数: 1)
下载附件
2021-2-8 21:33 上传
看到这熟系的界面微盘杀猪盘尝试在URL后面输入admin,成功跳转到后台
图片6.png (169.07 KB, 下载次数: 0)
下载附件
2021-2-8 21:33 上传
这套系统一堆漏洞
尝试弱口令账号:admin密码:123456成功登陆,
图片5.png (97.87 KB, 下载次数: 1)
下载附件
2021-2-8 21:32 上传
这个时候寻找上传点找到我的大马 打开bp开始我的一顿花里胡哨的操作
图片4.png (110.4 KB, 下载次数: 0)
下载附件
2021-2-8 21:32 上传
访问大马
图片16.png (142.48 KB, 下载次数: 0)
下载附件
2021-2-8 21:42 上传
我们返回上一级目录看到了我们一开始要渗透的裸聊的网站目录尝试目录跨越看看能不能进入到裸聊的目录下面。
图片3.png (62.66 KB, 下载次数: 0)
下载附件
2021-2-8 21:31 上传
图片2.png (63.13 KB, 下载次数: 0)
下载附件
2021-2-8 21:31 上传
tp5的数据库在database.php 文件
图片1.png (45.61 KB, 下载次数: 0)
下载附件
2021-2-8 21:30 上传
上传adminer.php开始连接数据库
图片14.png (159.68 KB, 下载次数: 0)
下载附件
2021-2-8 21:39 上传
都不是弱口令,如果没有旁站。根本搞不进来。
图片15.png (80.74 KB, 下载次数: 0)
下载附件
2021-2-8 21:40 上传
[email protected] (155.09 KB, 下载次数: 1)
下载附件
2021-2-8 21:42 上传
最后提醒大家远离网络不良行为,不轻易下载他人指定的所谓APP,也不要向陌生人泄露身份和家庭等敏感信息。转账前“四必问” 被骗后“四必做”转账前“四必问”:“我为什么要转账?”;“我认识对方吗,是否需要核实确认?”;“我是否会落入诈骗的陷阱?”;“我是否应该向警方咨询?”。被骗后“四必做”:联系银行客服寻求补救措施,了解资金去向;及时拨打110报警;注意保存转账汇款凭证;冷静对待,保持身心健康。
麻烦管理大大,帮忙排下板。🤯。。。。。
