!
也想出现在这里? 联系我们
创意广告

某棋牌渗透测试

前言
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
一、信息收集
这里通过fofa进行收集,语法为:body=某棋牌 && title=xxx
图片[1]-某棋牌渗透测试-安全小天地
图1-1 fofa资产收集
二、漏洞挖掘
通过手工及AWVS测试站点
手工测试发现弱口令
admin/admin成功进入后台
图片[2]-某棋牌渗透测试-安全小天地
图2-1 棋牌后台
查看相应功能点
图片[3]-某棋牌渗透测试-安全小天地
图2-2 棋牌用户
图片[4]-某棋牌渗透测试-安全小天地
图2-3 棋牌控制
AWVS测试发现Sql注入
图片[5]-某棋牌渗透测试-安全小天地
图2-4 AWVS高危漏洞
三、漏洞利用
由于手工进入后台无法getshell,这里使用AWVS扫描出的Sql注入进行测试
首先将数据包放入Sqlmap进行测试如下图:
图片[6]-某棋牌渗透测试-安全小天地
图 3-1 Sqlmap测试图
通过图3-1得知存在Sql注入漏洞且是mssql数据库,接下来查看对方是否数据库为dba权限,如果是尝试os-shell获取对方服务器权限
图片[7]-某棋牌渗透测试-安全小天地
图 3-2 DBA权限图
图片[8]-某棋牌渗透测试-安全小天地
图 3-3 os-shell
至此已拿到对方服务器权限成功执行任意命令
结束语
出此文章的初衷也是为了告诫在玩棋牌、赌博或者有想去玩的xdm不要去参加,网络赌博终害己、踏踏实实赚钱才是明路!

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞7 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容