-
拼客学院陈鑫杰:揭秘地下色情诱导网站,上车吧!
关键字: 揭秘地下色情诱导网站6、密码爆破与后台登录管理
①通过以上SQL注入,拿到了这些网站的管理员用户名及密码哈希值(MD5值),需要对MD5做暴力破解,破解成功率还不确定,如果哈希值是“加盐“的,那么成功率将大大减低,所以也只能碰碰运气吧。
这里直接找几个在线的md5网站,跑一圈看看:
上面这个是6位数字的,直接秒破。再试试下面一个=>
这个没法破解出来,估计密码长度比较长,再继续尝试其他的=>
8位数字密码的,同样秒破。另外,不同在线MD5网站的哈希存储量和计算速度不同,有些后台还包括了泄露了的社工库信息,所以可以多个网站尝试。
②拿到大部分网站对应的管理员账号密码之后,接下来就可以进入后台管理一探究竟,但是怎么进入呢?网站前端页面可没有“管理”“后台”等字样给我们点击进入。
这些网站有些默认用 http://xxx.com/admin的管理就可以进入后台,有些修改了后台地址,需要用后台扫描器(havij、御剑、burp)进行探测。
直接采用admin作为后台管理页面的:
后台路径做了一些变动的:
虽然网站域名不同,甚至运营者都不同,但是后台管理页面是一模一样的,这里将上面拿到的账号密码登录进来=>
③接下来便进入了后台,然后就有点震惊了:这已经明目张胆写明是“诱导支付,诱惑支付”!也就是说,有专业的团队专门制作这类色情诱导网站,这仅仅是我无意发现的一个“色情CMS”,肯定还有很多很多......
我们来看看这个“诱导支付”系统到底是怎么操作的?
a. 管理账号
b. 资源添加:网站上的视频和图片就是在这里添加的
b. 资源添加:大部分的图片和视频链接都是外链,除了图片是有效的,有些视频根本是空的,有些则是无效链接的(假的)
b. 资源添加:图库列表这里的图片全部采用外链,而不是本地存储
c. 分类设置:可以对网站首页的图片分类做简单的修改
d. 支付设置:这里才是重点!把二维码改成自己的,就可以坐等傻瓜打钱过来啊!(比挖比特币强太多..)
小结:通过对后台系统的分析,基本坐实了我最开始的猜测:这些所谓的色情网站,本身就是一个“壳”,所有的图片都是外链,而几乎绝大部分的视频也是假的,即便有人真的通过微信或者支付宝支付了,跳转之后看到的,也永远只能是一个“资源加载中”的黑屏页面。(这真的就是“钱也付了,裤子也脱了,你就给我看这个?!”......)
总之,这类“诱惑支付”系统,披着色情的皮,搭上移动支付的车,欺骗广大“消费者”。而由于服务的“特殊性”,大部分服务器又架设在国外,交易金融又是小额,此类用户基本都是吃哑巴亏的,顶多就是丢下一句“X”,然后学乖了一点点。
tips:写文章的时候,突然好奇搜索了一下,然后就看到有人在一些问答页面上的提问=>
要不要去告诉他真相呢?
接下来,拿到网站后台管理权限之后,之后还可以做什么呢?还可以考虑提权,拿下整台服务器,不过已经不是本文重点要谈论的了,这里给出大概的思路:可以爆出物理路径,考虑一句话图片木马(需要考虑命名过滤),然后尝试用菜刀或其他webshell工具管理=>
- 原标题:[冇眼睇]揭秘地下色情诱导网站,上车吧! 本文仅代表作者个人观点。
- 责任编辑:李泠
-
“美国居然在锯自己骑着的那根树枝,蠢得可怕” 评论 126换一种方式,让国宝“回家” 评论 115矛头直指哈尔科夫,普京首次公开俄军意图 评论 190普京特地去了趟哈尔滨,东北-远东合作前景如何? 评论 234中俄联合声明重量级要点,不只有图们江出海口 评论 313最新闻 Hot
-
换一种方式,让国宝“回家”
-
对抗中国?菲律宾加购5艘日本大型巡逻船
-
“我讨厌‘一带一路’,因为这绝妙的构想不是我们提出的”
-
斯洛伐克总理菲佐遭枪击后,他收到死亡威胁
-
12月6日前裁决,TikTok和美司法部要求法院启动快速通道
-
矛头直指哈尔科夫,普京首次公开俄军意图
-
“我们不承认台湾,今后也不会”
-
加拿大果然想跟,声称“不能给中国留后门…”
-
“美国居然在锯自己骑着的那根树枝,蠢得可怕”
-
法国邀请俄罗斯,英美不满
-
又在搞事,马科斯称菲律宾将“强力捍卫领土”
-
泽连斯基承认:我们很多旅都打光了...
-
中俄联合声明重量级要点,不只有图们江出海口
-
中国废食用油也被刁难,主要美企发声
-
行政瘫痪?联合国、世行及18国大使联合致信越南总理
-
“抱歉我说了这么久,因为感觉就像在自己家里”
-