DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

http://www.jinanshengke.com

菜单导航

渗透之实例破解

作者: 庄吉 发布时间: 2021年01月28日 13:48:51

昨天一个漂亮的高中同学突然叫我,说被别人骗了钱,让我帮帮忙,美女的忙,充满正义感的我向来是不会推脱的。(另外我还是有点喜欢她,虽然是上学时期的事了,但现在印象还是很好地。要是通过这次帮忙,对我的印象有了极大的提高,成就一段美满的爱情,又何尝不是一段佳话……) 通过了解,我同学以前就有打麻将、打牌的爱好,每逢过节回家,都和邻家小妹在一起玩。由于疫情期间,同学无法正常上班,在家无聊就和邻家小妹在一起长达3个多月的娱乐,为了增加娱乐性,偶尔的还会有金钱上的“付出”,也不是很多,5毛、1块,多的时候5块、10块的。每天熬夜到清晨(友情提示,长时间熬夜对身体不好哦)。期间输了不少钱,由于邻家小妹的复工,缺少打牌的伙伴。我同学在QQ群里看到了玩游戏还能赚钱,就动了心思。进入游戏提示余额1000元,同学一时眼红,最近输了这么多钱,想着尽快提现。于是就开启了这次误入“菠菜”的事件。

要出了同学和菠菜客服的对话,看一看同学是怎么一步一步掉入陷阱的……

请不要在我喜欢的人身上下手,我“刀”呢?

身为发哥头号影迷的我,在看完《赌神》中发哥的高超千术真是惊叹不已,现实中赌场也不缺这种千术高手,真的是十赌九输,任人宰割。那么线上赌博的背后又有什么秘密呢!今天就带大家探索一下。

请不要在我喜欢的人身上下手,我“刀”呢?

二、为爱而“站”之旁搜博采

通过同学提供的网站,下载app后发现是一个菠菜网站app

请不要在我喜欢的人身上下手,我“刀”呢?

我们下载一个app实例分析一下,通过抓包分析看到一个url地址。该URL地址还采用了MD5+base64加密双层加密,通过解码后还原了真实的通讯地址。

请不要在我喜欢的人身上下手,我“刀”呢?

我们打开url地址发现是一个web端网站,通过观察发现app内的功能与web端功能一致,为了测试方便我们从web端入手。

请不要在我喜欢的人身上下手,我“刀”呢?

对网站进行初步信息收集,网站ip为日本ip,使用了Nginx中间件,php语言开发。

请不要在我喜欢的人身上下手,我“刀”呢?

该网站使用了CDN,尝试使用扫描子域名、svn信息泄露、DNS历史记录、github信息泄露并借助在线工具等,均未能查到真实ip。

请不要在我喜欢的人身上下手,我“刀”呢?

我们用burpsuite爬取一下目录信息,获取到的信息少的可怜。

请不要在我喜欢的人身上下手,我“刀”呢?

用dirsearch、御剑、dirmap等工具进行目录扫描一波,看一看有没有网站备份文件,数据库文件。结果备受打击,依旧一无所获,管理员是处女座嘛?一点多余的东西都不留,可怕……

请不要在我喜欢的人身上下手,我“刀”呢?

通过浏览网站,发现该网站主要存在三个有价值的页面

register.php   注册页面
login2page.php 登录页面
contactus.php 客服页面

本文地址:http://www.jinanshengke.com/wlzs/63264.html

请遵守互联网相关规定,不要发布广告和违法内容