看我如何進入詐騙裸聊app后臺

前言

小弟我，第一次搞這種非法的站點

大佬，不要噴我。

僅記錄滲透過程

當然，專門打擊非法站點的大佬?？隙ㄝp車熟路的。

?

一個月黑風高的晚上

你獨自在網(wǎng)上沖浪

突然一個陌生女子要求

添加好友

你第一反應(yīng)是什么？

更要命的是

沒聊幾句話

對方居然要求“裸聊”！

我的天這也太刺激了吧！

于是你備好紙巾脫下褲子大擼一場時

?

?

你以為是艷遇找上門

結(jié)果是一群詐騙分子

?

?

通過被詐騙的受害者給了 app下載地址

?

?

?

對app的滲透當然少不了模擬器了，打開模擬器抓包一波

打開模擬器抓包 找到一個網(wǎng)站地址 哈哈哈 算是一個突破 打開網(wǎng)站看一下

?

?

打開發(fā)現(xiàn)顯示為thinkphp5框架的網(wǎng)站，憑我多年的滲透經(jīng)驗 這絕對不可能就一個網(wǎng)站。

嘗試尋找他的后臺

?

?

在url后面輸入admin，果然成功跳轉(zhuǎn)到后臺

?

?

嘗試輸入 ，常見的admin ，密碼錯誤。

好吧 運氣不好

抓包看看驗證碼是否能多次利用

并不能多次利用。那就代表爆破不了。

?

直接多地ping

并無cdn 可以直接干它

掃描目錄

?

掃描端口

?

?

寶塔，并無太多的利用點

還是我太菜了陷入僵局了，目錄和端口，并沒有多大用處

看著我的 滲透三字經(jīng)

旁站

?

?

?

19個站點，好幾個都打不開。

目標站，就在上面

訪問了其中一個站點

?

趕緊去舔一波

龍哥

得知這是 微盤殺豬盤的源碼

?

相關(guān)知識點

殺豬盤專用程序代碼審計：微盤getshell_辛巴

?

?

來到后臺，并沒有利用到漏洞。

直接123456進去了。

?

?

了不得 連大明星都玩你家平臺，真厲害

一個殺豬盤就7個真人

?

尋找上傳點

?

?

確實是，直接就上傳成功了。

?

?

?

?

直接跨目錄

防護做的再好，碰到豬隊友一樣還是要被搞

第三個站點，就是我們的目標站點

?

ThinkPHP5框架 的數(shù)據(jù)庫配置文件的位置是

/application/database.php

?

?

后續(xù)上傳了一個adminer.php

連接了數(shù)據(jù)庫

?

?

這種用戶名你能猜出來？

確實挺專業(yè)的哈， 還好幾個小組

直接上后臺看看

?

?

?

各位以后下載軟件的時候一定要小心，系統(tǒng)不讓你安裝肯定有他的道理

不要貪圖一時之快

?

?

?

?

最后提醒大家

遠離網(wǎng)絡(luò)不良行為，

不輕易下載他人指定的所謂APP，

也不要向陌生人泄露身份和家庭等敏感信息。

轉(zhuǎn)賬前“四必問” 被騙后“四必做”

轉(zhuǎn)賬前“四必問”：

“我為什么要轉(zhuǎn)賬？”；

“我認識對方嗎，是否需要核實確認？”；

“我是否會落入詐騙的陷阱？”；

“我是否應(yīng)該向警方咨詢？”。

被騙后“四必做”：

聯(lián)系銀行客服尋求補救措施，了解資金去向；

及時撥打110報警；

注意保存轉(zhuǎn)賬匯款憑證；

冷靜對待，保持身心健康。

?