论菠菜网站是如何一步一步让你深陷泥潭,直到倾家荡产的,今天借助一个同学分享的违规站点进行讲解,虽然该站点没有用户使用,但是远离赌博,人人有责!
第一部分
首先清楚今天的主角
![图片[1]-【防骗科普】菠菜网站是如何一步一步让你深陷泥潭,直到倾家荡产-安全小天地](https://img.godyu.com/2023/12/20231226132735667.png?imageView2/0/format/webp/q/75)
因为主页太过辣眼,就不拿出来展示了
经过一番测试,一共发现两个进入的方式,接下来分开简单讲解。
第二部分
弱密码
经过半天折腾之后才发现,这网站居然是弱密码,离了个大谱呀,真所谓最大的漏洞还是人自己呀。
SQL注入
通过常规测试,可以发现存在该漏洞
![图片[2]-【防骗科普】菠菜网站是如何一步一步让你深陷泥潭,直到倾家荡产-安全小天地](https://img.godyu.com/2023/12/20231226212743600.png?imageView2/0/format/webp/q/75)
而且查看返回包,可以发现服务器是windoes,中间件iis,脚本语言asp,那大概率数据库就是SqlServer(mssql)了,顺便拿sqlmap跑跑看看
![图片[3]-【防骗科普】菠菜网站是如何一步一步让你深陷泥潭,直到倾家荡产-安全小天地](https://img.godyu.com/2023/12/20231226212747767.png?imageView2/0/format/webp/q/75)
完全巴适,剩下的交给sqlmap慢慢跑就好,最后成功拿到密码admin:admin,这也就是为什么所弱密码才是yyds的原因。
第三部分
来带大家仔细看看,你是怎么输的那么彻底的
![图片[4]-【防骗科普】菠菜网站是如何一步一步让你深陷泥潭,直到倾家荡产-安全小天地](https://img.godyu.com/2023/12/20231226212748320.png?imageView2/0/format/webp/q/75)
首先查看这是超级管理员,就不需要提权什么的了,咱去看看都有些什么功能
在用户管理界面,可以查看到用户在线情况,游戏金额,输赢场次等各种数据,以这个在线 人数为例,你认为的场场火爆,其实都是些机器人在那里热场子,也许10000人的场子就只是为了框你一个人的money,看到这个你还敢进去单车变摩托吗。
![图片[5]-【防骗科普】菠菜网站是如何一步一步让你深陷泥潭,直到倾家荡产-安全小天地](https://img.godyu.com/2023/12/20231226212752780.png?imageView2/0/format/webp/q/75)
接着看看其他的,控制系统,可以单人控制,也可以全局控制,你以为是你运气爆棚,其实只是人家想让你尝点儿甜头罢了。
![图片[6]-【防骗科普】菠菜网站是如何一步一步让你深陷泥潭,直到倾家荡产-安全小天地](https://img.godyu.com/2023/12/20231226212756210.png?imageView2/0/format/webp/q/75)
![图片[7]-【防骗科普】菠菜网站是如何一步一步让你深陷泥潭,直到倾家荡产-安全小天地](https://img.godyu.com/2023/12/20231226212759603.png?imageView2/0/format/webp/q/75)
最离谱的还是这个游戏管理,你知道为什么你每次体现都失败嘛,满心期待的小心跳,在后台管理人员来看就是简简单单的一个拒绝按钮,哪有让到嘴的肥羊跑掉的。
![图片[8]-【防骗科普】菠菜网站是如何一步一步让你深陷泥潭,直到倾家荡产-安全小天地](https://img.godyu.com/2023/12/20231226212802531.png?imageView2/0/format/webp/q/75)
第四部分
看到这儿你还敢赌你的运气了嘛,珍惜生命,远离赌博!
THE END
暂无评论内容