-
拼客学院陈鑫杰:揭秘地下色情诱导网站,上车吧!
关键字: 揭秘地下色情诱导网站6、密码爆破与后台登录管理
①通过以上SQL注入,拿到了这些网站的管理员用户名及密码哈希值(MD5值),需要对MD5做暴力破解,破解成功率还不确定,如果哈希值是“加盐“的,那么成功率将大大减低,所以也只能碰碰运气吧。
这里直接找几个在线的md5网站,跑一圈看看:
上面这个是6位数字的,直接秒破。再试试下面一个=>
这个没法破解出来,估计密码长度比较长,再继续尝试其他的=>
8位数字密码的,同样秒破。另外,不同在线MD5网站的哈希存储量和计算速度不同,有些后台还包括了泄露了的社工库信息,所以可以多个网站尝试。
②拿到大部分网站对应的管理员账号密码之后,接下来就可以进入后台管理一探究竟,但是怎么进入呢?网站前端页面可没有“管理”“后台”等字样给我们点击进入。
这些网站有些默认用 http://xxx.com/admin的管理就可以进入后台,有些修改了后台地址,需要用后台扫描器(havij、御剑、burp)进行探测。
直接采用admin作为后台管理页面的:
后台路径做了一些变动的:
虽然网站域名不同,甚至运营者都不同,但是后台管理页面是一模一样的,这里将上面拿到的账号密码登录进来=>
③接下来便进入了后台,然后就有点震惊了:这已经明目张胆写明是“诱导支付,诱惑支付”!也就是说,有专业的团队专门制作这类色情诱导网站,这仅仅是我无意发现的一个“色情CMS”,肯定还有很多很多......
我们来看看这个“诱导支付”系统到底是怎么操作的?
a. 管理账号
b. 资源添加:网站上的视频和图片就是在这里添加的
b. 资源添加:大部分的图片和视频链接都是外链,除了图片是有效的,有些视频根本是空的,有些则是无效链接的(假的)
b. 资源添加:图库列表这里的图片全部采用外链,而不是本地存储
c. 分类设置:可以对网站首页的图片分类做简单的修改
d. 支付设置:这里才是重点!把二维码改成自己的,就可以坐等傻瓜打钱过来啊!(比挖比特币强太多..)
小结:通过对后台系统的分析,基本坐实了我最开始的猜测:这些所谓的色情网站,本身就是一个“壳”,所有的图片都是外链,而几乎绝大部分的视频也是假的,即便有人真的通过微信或者支付宝支付了,跳转之后看到的,也永远只能是一个“资源加载中”的黑屏页面。(这真的就是“钱也付了,裤子也脱了,你就给我看这个?!”......)
总之,这类“诱惑支付”系统,披着色情的皮,搭上移动支付的车,欺骗广大“消费者”。而由于服务的“特殊性”,大部分服务器又架设在国外,交易金融又是小额,此类用户基本都是吃哑巴亏的,顶多就是丢下一句“X”,然后学乖了一点点。
tips:写文章的时候,突然好奇搜索了一下,然后就看到有人在一些问答页面上的提问=>
要不要去告诉他真相呢?
接下来,拿到网站后台管理权限之后,之后还可以做什么呢?还可以考虑提权,拿下整台服务器,不过已经不是本文重点要谈论的了,这里给出大概的思路:可以爆出物理路径,考虑一句话图片木马(需要考虑命名过滤),然后尝试用菜刀或其他webshell工具管理=>
- 原标题:[冇眼睇]揭秘地下色情诱导网站,上车吧! 本文仅代表作者个人观点。
- 责任编辑:李泠
-
哥大挺巴抗议持续,美众议长称国民警卫队应适时出动 评论 360安理会表决:俄方否决,中方反击美方指责 评论 296“6年增加两倍”,美军高官又炒:中国速度“惊人” 评论 144NASA局长抹黑中国登月,连专业常识都不顾了 评论 409最新闻 Hot
-
“中企强势进军,韩企在自己主场感到危机”
-
安理会上,俄美代表互相质问对方“为什么?”
-
周受资回应:我们哪儿都不会去
-
美官员:最近几周,美国已向乌克兰秘密提供远程导弹
-
“6年增加两倍”,美军高官又炒:中国速度“惊人”
-
“这泼天的富贵暂时轮不上美国”
-
“价格战太激烈,大众在华目标就是保住份额”
-
朔尔茨称“普京没资格”,俄方反怼
-
“以色列是种族隔离国家!”纽约爆发抗议,数百犹太人被捕
-
“宁德时代被美国施压还赚了,韩企投资美国怎么反而要亏?”
-
俄国防部副部长涉严重贪腐被拘
-
NASA局长抹黑中国登月,连专业常识都不顾了
-
特朗普迎接:我喜欢这人
-
欧洲急着减排,却发现实现目标得依赖中国
-
“中国报价太香,加税50%都吓不跑美国买家”
-
美太平洋舰队司令来华参会:2019年后来华最高级别军官
-