《小日子渗透日记之偶然遇到的奇葩网站》
这几天和Dixon依旧着手对小日子网站的渗透。估计是网上找的日本网站都非常的哟西,虽然总是缺斤少两。没了CDN照样运维,没了防火墙照样运维。实际上现在建网站都是依照模板来建站,大中型网站都没有什么
漏洞,大多直接靠暴力美学来化解。Dixon也是绞尽脑汁也没想出个什么对策。
后来换了个网站。
工具
Kail,Park,BurpSuite
Dixon开始用Park扫后台
我用Kail刺探一下防火墙
结果探不出来
网站也加了CDN
用子域名先爆出了后台
data:image/png;base64,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
用户名默认为admin啦
开始爆破密码,这里使用BurpSuite
用了闪击波兰的功夫
嗯,已经爆出来了。
就在这光辉的时刻,如果不出意外的话那就是出意外了
密码不对。。。。。。。。。。。。。。
字典的力度不够
Dixon让我试了几个无密码和admin登录。没效果。
拉出bp10W字典,开始狂欢吧哈哈哈哈
过了一阵子,已经扫了7w了,毛都没出来。
不禁感叹:
马勒戈壁!
现在网站怎么这么难攻。
这就是前天的悲惨经历,不堪回首啊。
----------------------------------------------------------------------------------------------------------------------------------
昨天:
Dixon爱国热情依旧高涨,拉着我要我再找一点。
上网找了几个八嘎本色的网站给Dixon。
我:打黄网?
D:你找什么我打什么。
我:会不会辣眼睛
D:我已经禁欲了。
我:真假?
D:你最好不要搞到一半,自己点开看了。
我:没钱
然后Dixon开始对网站进行检测
Dixon友情提醒:一般,黄色网站都有很多旁站,数据庞大,服务器耐打。
这里用工具:网站猎手
可利用页面如下图:
网站猎手可以将小马上传到可利用页面。
点进可利用的链接,发现页面如下:
其返回值看出和上次一样,挂梯子开虚拟机。要不又是站长做了什么手脚,不让我们利用这个页面。
都看了看,链接没有什么利用价值了。
我搞明白了黄页的后台机制,应该是锁定ip访问,这只是我猜测,其他ip拦截在外,由此有了认证系统供黄页使用
百度经验:Web服务器如何设置用IP地址允许连接网站-百度经验 (baidu.com)
------------------------------------------------------------------------------------------------------------------------------------------------------
昨天下午:
Dixon找到一个奇葩网站。具体怎么奇葩呢?
用Park扫描的时候发现好多存在资源的链接
看到后面跟着的文件名字我就觉得很奇葩:
什么木马搜索,什么假地址,什么管理入口
还不到半分钟就已经扫出了两百多个。
电脑已经卡死了
然后,蓝屏。。。。。。。。。。。。。。。
这个站长是个变态吧?
进入到网站看看,发现有上传的地方和输入页面。
先不看网站源代码,直接输入XSS语句看看有没有XSS漏洞
语句:
<sCript>alert(1)</ScRipt>
这里我们采用大小写和双写绕过。
发现成功绕过。
然后到上传的地方,心里面暗暗顶礼膜拜练习两年半的坤哥。
上传asp小马
上传成功
有上传漏洞
找个时候时候重新上传拿BurpSuite抓包,中国菜刀连接。
挂黑页就是计日以待的事了。
日记就先写到这。
页:
[1]