瘋狂暗示！一次對(duì)某色情app的滲透

前言:

---

某個(gè)星期六的晚上，我還在挖 edusrc ，剛 getshell 內(nèi)網(wǎng)漫游完（純屬放屁哈哈哈）準(zhǔn)備下機(jī)睡覺(jué)，修君表哥給我發(fā)了某站（表哥們懂的，瘋狂暗示），

我打開(kāi)一看，WC好東西，不滲透一波怎么能對(duì)得起它呢？

背景:

找到某app的界面：

咳咳，表哥們別想太多哈，本人純情小處男，啥都不知道啥都不懂

看了看功能點(diǎn)，有一個(gè)注冊(cè)的地方，但是注冊(cè)的時(shí)候居然要邀請(qǐng)碼?。?！

真的很沒(méi)意思，一點(diǎn)互聯(lián)網(wǎng)資源共享精神都沒(méi)，這就很過(guò)分了，這么好的東西怎么能吃獨(dú)食？？

必須安排一波

過(guò)程：

看了看功能點(diǎn)，有一個(gè)注冊(cè)的地方，但是注冊(cè)的時(shí)候居然要邀請(qǐng)碼！??！

真的很沒(méi)意思，一點(diǎn)互聯(lián)網(wǎng)資源共享精神都沒(méi)，這就很過(guò)分了，這么好的東西怎么能吃獨(dú)食？？

必須安排一波，沒(méi)辦法，看著到手的資源就要飛了，于心不忍啊，

于是將app放到虛擬機(jī)，通過(guò)抓包拿到其真實(shí)域名

然后利用bp的爬蟲(chóng)爬到一處api接口

提示參數(shù)缺失 fuzz一波參數(shù)

fuzz.jpg (自行腦部bp fuzz圖 忘了截圖了)

http://www.xxxxxxx.cn/api/index/tab3?p=1&t=3&v=0&s=0

然后就是一波中獎(jiǎng)

但是不是DBA 也無(wú)法寫(xiě)文件 數(shù)據(jù)庫(kù)實(shí)在太亂了 懶得一個(gè)一個(gè)的讀

目前后臺(tái)地址也還沒(méi)找到 而且這個(gè)站及其的卡 思路完全亂了，，

想著先利用注入搞一個(gè)賬號(hào)出來(lái) 然后登錄該app，，看看app內(nèi)有無(wú)什么可利用的

但是除了一處留言反饋準(zhǔn)備測(cè)試xss之外，就是各種誘惑。。。。

留言框只允許中文以及中文符號(hào)，但是卻是使用js進(jìn)行驗(yàn)證，抓包即可繞過(guò)

對(duì)著該處留言框就是一頓亂插

中途等了大概10分鐘 就當(dāng)我以為要失敗的時(shí)候

果然，，菜逼運(yùn)氣好==

拿到后臺(tái)登錄地址?雖然沒(méi)有cookie 但是利用注入點(diǎn)讀出了后臺(tái)賬號(hào)密碼

最后登陸后臺(tái)

看了看后臺(tái)，app總用戶達(dá)到1w+…一天用戶增加500+

翻了下后臺(tái)的功能，，發(fā)現(xiàn)一處圖片上傳，而且似乎是js驗(yàn)證的圖片類型

但是在實(shí)際上傳中 各種失敗，應(yīng)該是前臺(tái)js驗(yàn)證+后端功能讓所有上傳的文件強(qiáng)制改名為.jpg

接下來(lái)的事就比較好玩了，雖然拿到了后臺(tái)，但是沒(méi)法突破，沒(méi)卵用

于是我添加了后臺(tái)留的一個(gè)QQ號(hào)

對(duì)方秒通過(guò)，經(jīng)過(guò)簡(jiǎn)單的交流，發(fā)現(xiàn)他是這套程序的二開(kāi)作者，售賣給別人被別人用來(lái)當(dāng)作淫穢視頻傳播盈利網(wǎng)站了。

于是我就將計(jì)就計(jì)，先唬住他（我攤牌了，我是演員）

這個(gè)地方 hw 和授權(quán)書(shū)只是我騙他的==

各位表哥看著爽就行

甚至他把他的網(wǎng)站后臺(tái)賬號(hào)密碼都給我了。。。

tips:以上內(nèi)容都是瞎編的，大佬們不要當(dāng)真！

通過(guò)他提供的部分上傳驗(yàn)證源碼，發(fā)現(xiàn)是后段對(duì)上傳文件強(qiáng)制改名了，我人都傻了，大佬們有繞過(guò)思路可以在下方評(píng)論

最后還是沒(méi)拿到shell等等，，也就是只止步于后臺(tái)了。

一方面是這個(gè)后臺(tái)實(shí)在太雞兒卡了，動(dòng)不動(dòng)無(wú)法響應(yīng)

另一方面就是漏洞利用手法沒(méi)有全面利用，導(dǎo)致忽略了很多getshell的姿勢(shì)，還是太菜了嗚嗚嗚，表哥們輕噴。

來(lái)源：http://r6d.cn/VRhr

版權(quán)申明：內(nèi)容來(lái)源網(wǎng)絡(luò)，版權(quán)歸原創(chuàng)者所有。除非無(wú)法確認(rèn)，我們都會(huì)標(biāo)明作者及出處，如有侵權(quán)煩請(qǐng)告知，我們會(huì)立即刪除并表示歉意。謝謝!

---

感謝閱讀