看我如何通过旁站拿下裸聊诈骗的后台

vipgoat

看我如何进入裸聊诈骗后台


一个月黑风高的晚上你独自在网上冲浪突然一个陌生女子要求添加好友你第一反应是什么？
更要命的是没聊几句话对方居然要求“裸聊”！
我的天这也太刺激了吧！
于是你备好纸巾脱下裤子大撸一场时
你以为是艳遇找上门结果是一群诈骗分子




话不多说 开始我们今天的裸聊app渗透

对app的渗透当然少不了模拟器了，
打开模拟器抓包一波打开模拟器抓包
找到一个网站地址 哈哈哈 算是一个突破 打开网站看一下
打开发现显示为thinkphp5框架的网站，凭我多年的渗透经验 这绝对不可能就一个网站。尝试寻找他的后台

在url后面输入admin，果然成功跳转到后台

当输入用户名密码的时候可以显示用户名不存在发现这里，验证码无法多次利用爆破不了

这里纠结老半天了，进不去后台。


查看当前网站的真实ip,发现并没有套cdn

利用微步，查看这台服务器下面是否有其他旁站。

打开了其中一个网址发现是也是一个登陆界面

看到这熟系的界面微盘杀猪盘尝试在URL后面输入admin，成功跳转到后台

这套系统一堆漏洞
尝试弱口令账号：admin密码：123456成功登陆，

这个时候寻找上传点找到我的大马 打开bp开始我的一顿花里胡哨的操作

访问大马



我们返回上一级目录看到了我们一开始要渗透的裸聊的网站目录尝试目录跨越看看能不能进入到裸聊的目录下面。



tp5的数据库在database.php 文件

上传adminer.php开始连接数据库

都不是弱口令，如果没有旁站。根本搞不进来。





最后提醒大家远离网络不良行为，不轻易下载他人指定的所谓APP，也不要向陌生人泄露身份和家庭等敏感信息。转账前“四必问” 被骗后“四必做”转账前“四必问”：“我为什么要转账？”；“我认识对方吗，是否需要核实确认？”；“我是否会落入诈骗的陷阱？”；“我是否应该向警方咨询？”。被骗后“四必做”：联系银行客服寻求补救措施，了解资金去向；及时拨打110报警；注意保存转账汇款凭证；冷静对待，保持身心健康。


麻烦管理大大，帮忙排下板。🤯。。。。。

Loker

数据库还是能访问的。。。看到几个关于爆破后台的帖子，进入后台的关键都是因为弱口令，如果后台的密码复杂度很高就没这么顺利了

Jackey318

大佬，救命，被诈骗，已经转账三万多，有通讯录信息被木马apk截取了，请问有办法进入他们的后台吗，现在持续被威胁中，想学习但是没学会。

lovejun

邪恶海盗 发表于 2021-2-9 10:54
如果加盐salt的呢?

那就没有办法了，不加盐其实也是在匹配已有的，暴力破解的话不知道要到何年何月

tenyears95

这个后台目前还可以登录   admin  123456  懂水的大神可以再去弄一下

zhangyechi

这个还是要收藏 好好学习一下 实践一下

xaibin

干得漂亮，色字头上一把刀。

huangxqfyl

厉害了。。。点赞！

BBS中文广播网

优秀啊。。。。

mailke998

你都没有进去把通讯录或者照片视频类的删一波吗？

cheesw

大佬拿到mysql数据库，密码是加密的大佬怎么还原的

z441511709

cheesw 发表于 2021-2-9 09:35
大佬拿到mysql数据库，密码是加密的大佬怎么还原的

MD5解密.....

涛之雨

emmmm翻了一下，网站不少后们啊。。。