3‘server 发表于 2016-1-20 19:27:04

再一次实战友情检测大型某房产门户网

从-------------新手---------------菜鸟--------想进入08--------无奈那个时候投稿总不通过-------现在看来以前的投稿真的很差劲---------------
希望更多朋友参与进来
---------------------------------------------------------------------------------------------------------------------------
插播一段广告
------------------------------------------------------------------------------------------------------------------------------------
昨晚检测某政府网站发现是一个通用型防注入系统
所以顺藤找到程序制造商
下载了看了一下,一个通用型sql防注入系统
凹yaya aspcms新闻系统
            php
我只看了asp
谷歌搜索,20w,索引量
涉及到 政府 教育 企业医院   行政   
我公布出来,你们也要且拿且珍惜
关键词

inurl:onews.asp?id=


也没去看 补天 和乌云有人提交没有
毕竟小厂商,乌云 360 是不会通知的
真的
昨天wooyun 被爆菊 在360平台公布
双方网站被ddos

打了这么多字各位管理大大多给我加点金币好不好啊
我要买xss平台差好多钱啊



微博好友互加            http://weibo.com/webitent/home?wvr=5            
                                                                                                                                        广告插播完毕

-------------------------------------------------------------------------------------------------------------------------------------
论坛都有   app我大诺基亚表示不服。差评。。。。。。。。。
win10系统   
完爆 ios和 安卓   
系统很流畅
所以管理大大们,加个班
(*^__^*) 嘻嘻……
------------------------------------------------------------------------------------------------------------------
上次打码打失误菊花被爆了一地
http://www.08sec.com/thread-7532-1-1.html
还有朋友说毫无亮点
---------------------------------------------------------------------------------------------------------
论坛朋友一个拿shell的 科讯
http://www.08sec.com/thread-7550-1-1.html
我试了很多次,就一个利用点 sql执行
但是sql写文件总是失败
我记得我以前就是用sql拿的shell
网上的方法都一样的
所以某位有能力去帮他一把。
对不起哈这位朋友。我能力有限,所以要继续前进
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

这次我就来一个1000w的电灯泡


这些对我没用
打码只是防护某些牛,爆菊花拿去做黑帽
见谅了
言归正传
探测-----
服务器是iis8.0
采用的08cms


好吧一个敏感信息都没有我晕死
去百度找08cms 漏洞
好吧没有最新漏洞,这里就不截图
迷们自行百度
跟着我的脚步走往下看
端口

清楚的看到
80----8080--80801----21---
看到21端口就想起了ftp

上工具爆破
边爆破边看其他方法
注册会员

注册个会员试试能不能突破了

什么
what are you do?
祭出神器
burpsite
who is
我晕
神器估计没吃药

完了完了
思路打断了
于是回到 站长工具看了服务器不是 iis8.0吗
思路又来了
上传一句话图片马

神器的天线宝宝的我在后面加了个
                     /.php

菜刀连接成功
上传免杀木马进服务器

好了,由于时间有限,提权部分就改天送上来
啦啦啦啦啦阿拉拉爱啦啦啦啦啦啦啦啦啦啦安安啦啦啦啦啦
听说某sss论坛招收vip了看到学费我就笑了了
800元
然而我去下载了他们的教程
听说是一期莫部分
看了我不说话
我分享给大家
来自某论坛---------------------------------------------------------------------------------------------------------------------------------------------------------------
本期教程只针对0基础及新手,超过这个阶段的自动绕过

教程目录:
            《前言》         这个前言希望大家务必看看,是我录了好几遍的......很重要
第一课:《sqlmap的安装》
第二课:《利用sqlmap注入并且进入后台拿shell》
第三课:《burp的安装和设置》
第四课:《利用burp改包拿shell》
第五课:《实战某骗子网站》
第六课:《实战过狗提权》
第七课:《分析免杀马后门以及日webshell箱子思路》
第八课:《webshell绕过安全狗》

其实本来教程是 16课的,很多主流cms以及提权方面的细节都没来得及录制。

下一期教程不知道什么时候出来,这要看新手们的消化速度快不快了。

希望看了教程的朋友在下面留个言,但是不要灌水、发现多次灌水封号处理。

我谨代表SSS感谢大家的支持、希望大家多多提供好的建议!

好吧,废话不说了,我想说的都在《前言》中了

教程下载地址:
本帖隐藏的内容

http://yunpan.cn/cdYcUVfUcgNWt (提取码:c84a)
----------------------------------------------------------------------------------------------------------------------------------------------------------------
不过这位管理大大叫95zz技术真心很好,不吝祝福-------祝福他论坛越来越火
=============================================================
大家不要盲目的去拜师学习,这些不是骗子就是忽悠你
说实话分享我的一些经历
当初踏上的时候我也希望找个师傅带带我
以前看到剑眉大侠这个sb
就想去拜师 学费888 你就可以学习 黑阔技术了
还好当初是个穷逼
不然真的888 就没有了,我一个朋友就被坑了                                    可以
真的不骗你们
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
想建议管理们开发一个貌似漂流瓶的程序,我在谋论坛看到一个,很久了那个网站貌似也关闭了。能够在大海里捞到成员说的心情,可以回复,还有音乐。这样我们每天发完帖子还可以社交一下,说不定就有女朋友了呢
所以各位管理大大,能够辛苦点,
如果数据费用支撑不了,我是08人
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


最后我希望--------------------------------------------------------90大大----恳请--你--能否给我一本php学习内的书籍,---很想学习代码审计这方面的知识先自学,最后才打算去北京传智播客去求读---------------------------------我知道你家中安全方面的的书籍堆得比我高中书籍还多
-----------------希望你能送我一本-------还有签名哦----------资金最近很紧张挣的钱都打回家里去了-- -----

clocks 发表于 2016-1-20 19:41:25

帮你顶一个。希望90会把他的珍藏本给你

3‘server 发表于 2016-1-20 19:50:27

这次我就不信你们还能爆到我菊花,难道你们做个搅屎棍真好吗

Antergone 发表于 2016-1-20 19:57:47

这里说一下诺基亚的win系统说实话还是比较小众,开发可能比较小,开发成本也不小。建议用www.ihonker.org这个域名访问论坛啦。给你加分

3‘server 发表于 2016-1-20 20:11:28

Antergone 发表于 2016-1-20 19:57
这里说一下诺基亚的win系统说实话还是比较小众,开发可能比较小,开发成本也不小。建议用www.ihonker.org ...

习惯百度 08sec了嘻嘻

andy99 发表于 2016-1-20 21:31:52

还好。感谢分享、本人支持08安全团队。

sladjfksld 发表于 2016-1-20 21:50:43

现在还能碰到iis8.0解析漏洞不打补丁的,楼主RP好到爆了,可以试试买彩票了~

我叫齐齐 发表于 2016-1-21 08:40:29

请问楼主有时上传马,比如说php的,会被更改为 _php, 而不是.php肿么突破,
那个爆破的软件能不能发一下呢?
easonhqy@163.com   谢啦

haowozao 发表于 2016-1-21 19:52:30

感谢分享对新手的帮助

3‘server 发表于 2016-1-21 20:21:24

我叫齐齐 发表于 2016-1-21 08:40
请问楼主有时上传马,比如说php的,会被更改为 _php, 而不是.php肿么突破,
那个爆破的软件能不能发一下 ...

我也遇到过,估计网站有护卫神,护卫神最爱做这种了,看他是拦截后戳还是内容ftp爆破吗
百度找的
页: [1] 2
查看完整版本: 再一次实战友情检测大型某房产门户网