-
拼客学院陈鑫杰:揭秘地下色情诱导网站,上车吧!
关键字: 揭秘地下色情诱导网站6、密码爆破与后台登录管理
①通过以上SQL注入,拿到了这些网站的管理员用户名及密码哈希值(MD5值),需要对MD5做暴力破解,破解成功率还不确定,如果哈希值是“加盐“的,那么成功率将大大减低,所以也只能碰碰运气吧。
这里直接找几个在线的md5网站,跑一圈看看:
上面这个是6位数字的,直接秒破。再试试下面一个=>
这个没法破解出来,估计密码长度比较长,再继续尝试其他的=>
8位数字密码的,同样秒破。另外,不同在线MD5网站的哈希存储量和计算速度不同,有些后台还包括了泄露了的社工库信息,所以可以多个网站尝试。
②拿到大部分网站对应的管理员账号密码之后,接下来就可以进入后台管理一探究竟,但是怎么进入呢?网站前端页面可没有“管理”“后台”等字样给我们点击进入。
这些网站有些默认用 http://xxx.com/admin的管理就可以进入后台,有些修改了后台地址,需要用后台扫描器(havij、御剑、burp)进行探测。
直接采用admin作为后台管理页面的:
后台路径做了一些变动的:
虽然网站域名不同,甚至运营者都不同,但是后台管理页面是一模一样的,这里将上面拿到的账号密码登录进来=>
③接下来便进入了后台,然后就有点震惊了:这已经明目张胆写明是“诱导支付,诱惑支付”!也就是说,有专业的团队专门制作这类色情诱导网站,这仅仅是我无意发现的一个“色情CMS”,肯定还有很多很多......
我们来看看这个“诱导支付”系统到底是怎么操作的?
a. 管理账号
b. 资源添加:网站上的视频和图片就是在这里添加的
b. 资源添加:大部分的图片和视频链接都是外链,除了图片是有效的,有些视频根本是空的,有些则是无效链接的(假的)
b. 资源添加:图库列表这里的图片全部采用外链,而不是本地存储
c. 分类设置:可以对网站首页的图片分类做简单的修改
d. 支付设置:这里才是重点!把二维码改成自己的,就可以坐等傻瓜打钱过来啊!(比挖比特币强太多..)
小结:通过对后台系统的分析,基本坐实了我最开始的猜测:这些所谓的色情网站,本身就是一个“壳”,所有的图片都是外链,而几乎绝大部分的视频也是假的,即便有人真的通过微信或者支付宝支付了,跳转之后看到的,也永远只能是一个“资源加载中”的黑屏页面。(这真的就是“钱也付了,裤子也脱了,你就给我看这个?!”......)
总之,这类“诱惑支付”系统,披着色情的皮,搭上移动支付的车,欺骗广大“消费者”。而由于服务的“特殊性”,大部分服务器又架设在国外,交易金融又是小额,此类用户基本都是吃哑巴亏的,顶多就是丢下一句“X”,然后学乖了一点点。
tips:写文章的时候,突然好奇搜索了一下,然后就看到有人在一些问答页面上的提问=>
要不要去告诉他真相呢?
接下来,拿到网站后台管理权限之后,之后还可以做什么呢?还可以考虑提权,拿下整台服务器,不过已经不是本文重点要谈论的了,这里给出大概的思路:可以爆出物理路径,考虑一句话图片木马(需要考虑命名过滤),然后尝试用菜刀或其他webshell工具管理=>
- 原标题:[冇眼睇]揭秘地下色情诱导网站,上车吧! 本文仅代表作者个人观点。
- 责任编辑:李泠
-
“五一”近3亿人次出游、花了1668.9亿元 评论 96“美国首次暂停,以色列深感担忧” 评论 133习近平抵达巴黎开始对法国进行国事访问 评论 41刚有“明显进展”,巴以停火又陷僵局 评论 49他在以色列监狱中死亡,联合国官员:极度震惊 评论 287最新闻 Hot
-
“五一”近3亿人次出游、花了1668.9亿元
-
自作自受?对俄制裁回旋镖射中一瘸一拐的波音
-
马科斯声称:菲律宾不希望加剧南海紧张局势
-
“我想让各位知道,我们不会退缩”
-
他也要对TikTok“真香”了?
-
内塔尼亚胡:任何国际机构都无法阻止以色列“自卫”
-
“美国首次暂停,以色列深感担忧”
-
他窜台炒作:特朗普胜选后将一如既往“挺台”
-
刚有“明显进展”,巴以停火又陷僵局
-
他“替”乌克兰宣布新反攻:2025年发动
-
“欧盟正游说中国:别‘报复’,得特别保护”
-
俄方通缉泽连斯基等乌军政要员,乌方回应
-
“没有沙以关系正常化,就没有美沙防务协议”
-
他在以色列监狱中死亡,联合国官员:极度震惊
-
“丢473个议席!40年来最差”
-
加拿大逮捕3名印度人,印度外长回应
-