当前位置: MCBANG > 首页安全 > 社会工程学 > 正文

社进目标网站后台之漏洞挖掘

2012-12-25 10:43 来源:90sec论坛 浏览次数:2807 我来说两句(0)

社进目标网站后台

想入侵一网站,但是网站不知道是什么程序,没注入没上传找不到后台,扫也没扫到能利用的,是万网的ii7.5空间,没解析漏洞,不能旁注和C段,因为整Cip都是同一台服务器,不知道咋搞了,查了下域名注册信息的邮箱电话什么的,是个搜了下电话发现是个做网站的 公司,然后在那个网站上观察了下  发现有几个成功案例里面的网站好像和目标站的程序是一样的,域名打算搞个目标站的程序来研究下看有木有什么默认数据库地址默认密码 后台编辑器等等之类的漏洞,但是程序和目标一样的  找不到漏洞  我就想旁注,一查旁注400多个网站,而且都是一样的程序,批量扫rar等等  也没扫到一个  ,编辑器这些更不用说了 在很多网站后面加xxx.aspx没出现代表支持aspx的那个404页面     用这种程序的文件  在搜索引擎里面搜  出来的站   都是在这个服务器上  卧槽    对我等小菜来说  黑不掉他了    于是又继续看那个做网站的公司  ,我想社一下  看能不能射到这种程 序的后台

我打算先用旺旺加他  看看他有没有看网店   做网站之类的 然后拍一个 程序 去后台看了 后不满意申请退款

但是他没开网店




1.JPG

加他旺旺假装要做网站


2.JPG 


网站程序太贵了  使用型的 880   企业型的  4400  商务型的   9800  我草  这破asp程序真jb值钱  还加域名空间  又翻一倍  做网站也是暴利啊   

他发了 几个样本站给我   但是都不是目标那种程序  





3.JPG 




先为等会要进后台去测试程序打好套路




4.JPG

5.JPG


故意说老总给了我2000  做网站  我还想做了剩点钱自己用  向他讨价还价 让他更加相信我要做网站   嘿嘿   


6.JPG




继续打进后台测试的套路




7.JPG 



8.JPG 

他妈的只准我看图片   看来他还是有点安全意识  怕程序泄露了   

可能他的程序可能有漏洞    一泄露 全部网站 都完蛋了


9.jpg 


这家伙死活不让我测试   




10.jpg

继续忽悠他



11.jpg 

他给我证明 程序是好的  但是我主要是进他后台拿个webshell  我不要你证明  我只要webshell啊啊



12.JPG

他给我证明 程序是好的  但是我主要是进他后台拿个webshell  我不要你证明  我只要webshell啊啊




13.jpg

我还在想办法 传webshell的时候突然程序文件都404了   难道被发现了  我草





14.jpg 

汗   这家伙居然去百度搜我qq   发现了2年前我发的 帖子  。。。。卧槽   百度居然把这个收录了   fuck   早晓得换个qq社    大意了    不过我脑壳一转想起以前买过一个qq  于是截图骗他说我这个qq是淘宝买的   消息是别人发的

然后他相信了






15.jpg

又发给我了  呵呵  

但是我发现后台没拿webshell的功能啊   编辑器没漏洞  上传没漏洞   其他的没利用价值了  卧槽




16.jpg 


17.jpg 

不鸟他了     很遗憾没拿到webshell   但是发现了 一个 进后台的漏洞

Cookie里面有一句 adminid=test;session=true 好像是这样的   然后直接上啊D  用这句cookie进了目标网站的后台  但是还是没拿到webshell

大家以后日站找不到是什么程序  也没发现漏洞的时候 也可以找做这个程序的公司去测试后台  拿webshell研究   思路很简单  但是很有效   我这次运气不好   遇到个拿不到webshell的程序 fuck  



[广告]赞助链接:

爱尖刀科技,关注企业数据与安全:http://www.ijiandao.com

知安,互联网产品安全医院:http://www.knowsafe.com
选择AiDeep,让人工智能为你工作:http://www.aideep.com/
成都火锅串串加盟首选:http://www.niupinhui.com/
互联网优质PPT下载:http://down.ijiandao.com/

关注公众号:Mcbang_com 了解更多精彩,关注:chayuqing_com 娱乐资讯早知道!
收藏 分享 发布者: 疯子 |
看完这篇文章,你的感受如何?


伤心


无视


惊讶


流汗


赞同


路过
Copyright© 2006-2016 IjianDao.Com All rights reserved.
知娱 版权所有 京ICP备14006288号-3