记一次某洗钱资金盘后台爆破记录
本帖最后由 猫携 于 2023-5-31 15:01 编辑起因是我姐给我说最近有个网站可以薅羊毛,她和她同事都参与进去了,但是现在银行卡涉嫌诈骗被冻结,叫我过去看看。
网站现在打不开,总是就是低价买平台的东西,然后再在平台卖出去,赚取中间的佣金。
这不妥妥的洗钱吗? 话不多说,小赞一点。
Ps:图片有点多,有点啰嗦
工具:Burp Suite
1. 首先Burp Suite的界面设置代{过}{滤}理
2.给浏览器设置代{过}{滤}理,让Burp可以抓包(这边使用的是Firefox)
如果需要证书,自己百度配置一下
3.开启抓后台登陆数据。
我提前用御剑扫了后台登陆网页,所以扫描后台这步省略
4.把抓到的数据发送到爆破参数界面
5.抓到的数据清除一下参数
6.设置一下主要爆破参数
这里有点运气成分,我猜疑的admin是账户,所以只爆破了密码
7.去payloads加载一下字典,主要用来猜测密码,具体字典可以去Github找
8.开始爆破
9.查看爆破数据,
Length的长度判断,
至此,可以说运气还不错,爆破出来了密码,
从参数看出,账户为admin,密码为123456a
Ps:大家不要设置弱口令密码
10.登陆后台,查找有用信息
11.部分数据查看
记录了对方的阿里云oss
12.交易记录
大约2554*20=51080条记录,洗的钱应该不少,可望不可及
13.开启后台登陆日志,查看后台访问IP
14.后台日志记录
这一步我就不传图片了,大致国内 IP都在河北 附近。
15.至此,结束,只能说本次爆破运气成分占据99%,因为弱口令密码很简单就才出来。
这个码打的真有水平 猫携 发表于 2023-5-31 22:30
所有记录都截图保存了,当时就打了本地110和后台ip地址所在110,只不过你懂的
这个要打96110,或者当地镇区反诈固话,如果管事的作为,肯定会查。110报这个不一定不会转达消息过去。不够现在网站好像已经关了,也晚了,截图没用,要他们自己采集的才算。 牛逼~~~ 感谢大佬讲解~~~ 厉害,望尘莫及啊 挺好的 讲的很详细 应该继续深挖看看有没有上传之类的 这种是网站设计的问题,如果配上人机验证和失败次数锁定那你这套教程就是摆设 你这码还不如不打{:301_993:} 不错,不够还不够深入。只拿到了网站的后台。 上传一句话,然后菜刀连接呀。