入侵91网直到拿下服务器#并泄露150w+用户信息
在补天看到一厂商
首先挖到一处注入
http://www.91taoke.com/index.php?m=Dayi&a=answer&aid=26313
此处注入是dba权限
打算使用--os-shell
但是发现不行
就直接先跑了下数据
8个数据库
150w+用户信息泄露
可以成功登录!
但这都不是重点!!!
随后用--password看了下所有数据库的密码
找到了root用户来解密
密文:*0E42FED97869A59B7F497F14C69CCFAB8DAFA6A4
密文类型:mysql5
明文:yz6fang.net
随后继续深入 远程连接数据库 发现不外连
只好找91taoke的用户来连接了
之后才发现原来就只有91taoke和yuancheng这两个用户外连
不过看了下 这两个用户是root权限
随后继续查看mysql数据库里的表
找到一个ftpusers的库
有两张表 点开user
发现真的是ftp的用户和密码
而指定的dir表就是权限 从这里可以看到最高的目录为xwxd这个用户
破解密码得到
4241_kaka
随后连接ftp
连接成功 从这里可以看到有很多的旁站
这里上传一个大马来提权
http://www.91taoke.com/soft/lesson.php 密码:Silic
可以看到目标服务器是Linux2.6.32的版本
随后反弹一个shell到外网服务器上
上一个对应的exp
成功拿下服务器
ssh连接之~
另外再附上三处注入
http://91taoke.com/index.php?m=Shitiku&a=yulan&id=268723(id)
http://www.91taoke.com/index.php?m=Dayi&a=answer&aid=26313(aid)
http://xiaogan.91taoke.com/index.php?m=Dayi&a=answer&aid=6783(aid)
子域名也有注入
转载于:https://www.cnblogs.com/wh4am1/p/6576448.html
入侵91网直到拿下服务器#并泄露150w+用户信息相关推荐
- 写在京东泄露12G用户信息后的一些感想
本文为原创,若需转载,请标明出处. 又是一个双12,显然双12没有双11时大家都在讨论的买买买的热闹的景象,而相对3年前双11甫一露面时的火爆景象,又相去甚远.可能消费者已经进入疲劳期,或者当年的消费 ...
- qq小程序绑定服务器,QQ小程序 用户信息
小程序登录 小程序可以通过QQ官方提供的登录能力方便地获取QQ提供的用户身份标识,快速建立小程序内的用户体系. 登录流程时序 说明: 调用 qq.login() 获取 临时登录凭证code ,并回传到 ...
- shiro服务器取不到用户信息,SpringMvc+Shiro有时候shiro取不到用户名
在自定义Realm中的doGetAuthenticationInfo方法中,使用String userName = (String) authenticationToken.getPrincipal( ...
- cas服务器中如何存储用户信息,CAS3.5.2 Server登录后返回用户信息详细解决方案
单点登录(Single Sign-On, 简称SSO)是目前比较流行的服务于企业业务整合的解决方案之一,SSO使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统.大家在使用时CA ...
- 入侵必读:网警如何找到你
请不要看到这么多字调头就跑!学东西就不要怕多字,对你有帮助的文章,再多都要看,书那么厚都能看完,别说这一点了. 看了这文章你会毛骨飒然 语有云:天网恢恢.疏而不漏!这句话是真的么?现实社会中我不知道 ...
- kali入侵内网电脑和入侵外网电脑
生成木马文件,从而控制对方电脑(这里只能在同一个局域网下才能入侵) 第一步:输入msfvenom命令生成一个payload,相关参数与命令如下: -p:使用反向远程控制程序"windows/ ...
- 服务器系统会导致断网吗,云服务器会断网吗
云服务器会断网吗 内容精选 换一换 企业主机安全(Host Security Service,HSS)是提升服务器整体安全性的服务,通过主机管理.风险防御.入侵检测.安全运营.网页防篡改功能,可全面识 ...
- 再谈SQL注入入侵动网SQL版
再谈SQL注入入侵动网SQL版 编辑前言: 这个文章我没有测试,但前提条件还是很多,比如一定要有别的程序存在,而且也要用同一个SQLSERVER库,还得假设有注入漏洞.说到底和动网没有什么关系,但因 ...
- 怎么让内网显示云服务器ip,腾讯云内网IP怎么用
内网服务即局域网(LAN)服务,云服务之间经由内部链路互相访问.腾讯云上的云产品可以经由 Internet 访问,也可经由腾讯云内网互相访问.腾讯云机房均由底层万兆/千兆互联,提供带宽高.时延低的内网 ...
最新文章
- Linq-语句之Select/Distinct和Count/Sum/Min/Max/Avg
- keyshot环境素材文件_KeyShot渲染,打光这么打,效果倍儿棒
- 组合数学 —— 组合数取模 —— 逆元与递推打表
- Python框架篇之Django(Template基础:模板语法、过滤器filter)
- QUdpSocket 4.6 严重丢包
- Windows、Linux 纷纷被爆漏洞,黑客可直取 root 权限!
- Debian8安装TeamViewer远程协助软件
- 关于IE11浏览器不能正确调用ActiveX控件的解决办法
- oracle用户登录提示: user test lacks create session privilege logon denied
- java 获取视频第一帧 | Java工具类
- 傅里叶变换之掐死教程(完整版)
- 简历上的项目经历怎么写 ?这 3 条原则不可忽视 !...
- Ribbon负载均衡服务调用
- 2020互联网大厂的薪资职级一览
- Java实现ATM机
- 鸿蒙os桌面怎么布局好看,鸿蒙OS全新PC桌面模式即将上线?回顾一下手机桌面系统的发展历程...
- Shell脚本中 双引号(“”)单引号(‘’)反引号(``)的区别
- kdj超卖_KDJ指标的超买与超卖
- 面试经验|春招在即,时间宝贵,这一定是最近的 Java 并发学习路线
- c++计算正态累积分布函数