前言 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 一、信息收集 这里通过fofa进行收集,语法为:body=某棋牌 && title=xxx 图1-1 fofa资产收集 二、漏洞挖掘 通过手工及AWVS测试站点 手工测试发现弱口令 admin/admin成功进入后台 图2-1 棋牌后台 查看相应功能点 图2-2 棋牌用户 图2-3 棋牌控制 AWVS测试发现Sql注入 图2-4 AWVS高危漏洞 三、漏洞利用 由于手工进入后台无法getshell,这里使用AWVS扫描出的Sql注入进行测试 首先将数据包放入Sqlmap进行测试如下图: 图 3-1 Sqlmap测试图 通过图3-1得知存在Sql注入漏洞且是mssql数据库,接下来查看对方是否数据库为dba权限,如果是尝试os-shell获取对方服务器权限 图 3-2 DBA权限图 图 3-3 os-shell 至此已拿到对方服务器权限成功执行任意命令 结束语 出此文章的初衷也是为了告诫在玩棋牌、赌博或者有想去玩的xdm不要去参加,网络赌博终害己、踏踏实实赚钱才是明路!
小黑 黑总细!
小黑 tql yyds 老哥我要给你生猴子
小黑 yyds!!!
yyds
Colorado YYDS
黑总yyds
Colorado 感谢co神
tql
永安寺 :大师傅tql
0x6270 0少yyds
黑总真细--致!
Mr.小鳄鱼 细 🤣
低哼 😅 水文水文
🉑️
Sess 😆
我记得这类棋牌站,前台就有sql注入 ,如果没有那就是我记混了 🤣
m0ch4z 对的前台后台都有的
火线用户e11208 师傅稳 😃
tql tql 😆
火线用户6c7af7 师傅tql真顶
