创世资源网 - 小偷娱乐网_小志资源网,分享活动资讯、软件、教程、及各种互联网资源!

看我如何攻破钓鱼网站老巢并拿下服务器

创世娱乐 教程技术

收到钓鱼网站链接:

看我如何攻破钓鱼网站老巢并拿下服务器

点击链接:

看我如何攻破钓鱼网站老巢并拿下服务器

出现拦截链接,看来chrome属实牛逼,但是我们点继续访问

看我如何攻破钓鱼网站老巢并拿下服务器

是一个仿的qq邮箱手机上的登录界面

审计一下页面(也可以抓包),可以发现,数据提交的链接:

看我如何攻破钓鱼网站老巢并拿下服务器

访问这个链接:

看我如何攻破钓鱼网站老巢并拿下服务器

发现主目录403

 因为以前日过一个钓鱼网站,那个钓鱼网站的有个管理界面在admin下,所以,这次也试试,访问admin目录,果然出现了登录界面。

看我如何攻破钓鱼网站老巢并拿下服务器

审计源码没什么用,于是尝试登陆,首选sql注入万能密码,然而还真存在,直接admin登陆。Ahhh

看我如何攻破钓鱼网站老巢并拿下服务器

接下来继续操作,经过测试发现这个平台有好多个子用户,推测应该是出售钓鱼链接给别人,以此获利,严重违反了法律。

目前中招的QQ号有6w+

看我如何攻破钓鱼网站老巢并拿下服务器

平台的子用户有63个

看我如何攻破钓鱼网站老巢并拿下服务器

由于在这个站点上没有找到上传点,可以利用的服务还剩ftp,由于对ftp不够了解,所以打算从其他方面入手,刚刚在审查用户的时候,我注意到了,每个链接都有对应的服务器。

其中有个地址比较吸引我。

看我如何攻破钓鱼网站老巢并拿下服务器

尝试访问一下

看我如何攻破钓鱼网站老巢并拿下服务器

宝塔面板的界面,于是访问888端口,发现无响应,orz,再用nmap扫一下,扫出了888端口有http,试着访问一下,发现了宝塔win的登录界面。

看我如何攻破钓鱼网站老巢并拿下服务器

Sql注入,弱密码,初始密码试了一圈,都登不上去,这个时候想到了,刚刚的管理界面是admin登陆的,所以宝塔的会不会密码一致呢,本来打算盲注跑一下数据库呢,结果发现刚刚的用户管理界面有admin用户的信息。

看我如何攻破钓鱼网站老巢并拿下服务器

于是拿着这个账户去登陆,成功登录,发现这个服务器上有好多钓鱼网站的链接,数据库。。。

这是捅了贼窝了。。。

看我如何攻破钓鱼网站老巢并拿下服务器

看我如何攻破钓鱼网站老巢并拿下服务器

最后通过惯用套路成功搞到服务器。

看我如何攻破钓鱼网站老巢并拿下服务器

同类推荐

免责声明:

本站提供的资源,都来自网络,版权争议与本站无关,所有内容及软件的文章仅限用于学习和研究目的。不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负,我们不保证内容的长久可用性,通过使用本站内容随之而来的风险与本站无关,您必须在下载后的24个小时之内,从您的电脑/手机中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。侵删请致信E-mail:2335990277@qq.com

评论
热门文章
随机文章
教程技术 看我如何攻破钓鱼网站老巢并拿下服务器
收到钓鱼网站链接:点击链接:出现拦截链接,看来chrome属实牛逼,但是我们点继续访问是一个仿的qq...
扫描二维码阅读原文
创世资源网 January, 01
生成社交图 ×