一位现实里的朋友,关系挺好的,也不知道他从什么时候沾上这些。打电话来跟我说务必查出他IP,被骗了八K旁边,就算查到了又能若何?还说最好是能追回资金,我又不是警察,汗、我想多数是被套路了,当然我也不能太听信他的一壁之词,以是自己也静下心来去琢磨了一会。
先用朋友给我的QQ号搜了下,创造在骗子吧曾有多人举报过,解释此人此网站可信度不高。PS:本人法律知识也不高,话说这样的私人平台算违法吗?时时彩违法吗?我只知道私人架设网络赌钱网站是违法的吧?哪位学法律的朋友给我科普下干系类的知识,小弟在此感谢了。
网站是PHP的,找了下SQL注入,查了下旁注。独立做事器,旁注入侵是果断没戏了,踩了下基本的点什么的。
在来扫了下目录创造存在phpmyadmin管理系统,但没有创造后台什么的,没有多少利用代价。
正准备换条路走,手贱试了个弱口令居然能顺利进到phpmyadmin,而且还是root权限。人品这么好?这更加证明了此网站的可信度,涉及资金的平台你会搞个弱口令给我?这点安全方法都不可能不做的。
实行了一下SQL语句看了下安装路径,细心创造居然是phpstudy,居然利用这种一键搭建环境,也是溜。
既然有权限我就可以利用SQL语句导出文件,但条件你得知道路径,于是自己本地搭建了一下phpstudy测试,在利用上去成功爆出了路径。
接着导出一支php一句话后门,当然phpmyadmin拿shell的方法很多。
再用菜刀连接我们刚才的后门,上传cmd到可实行目录,创造权限好大。直接添加了账号密码进行提权。
登录做事器涌现了这样的界面,没事用命令mstsc /admin 或者mstsc /console打破下就可以办理了。
进入做事器后,翻了下各个盘创造还存有男人喜好的东西,我在想在做事器里看那东西是不是很刺激,吱吱吱~~~我也是无语了!
果断收藏了,哈哈,后来通过剖析确定后格盘了闪人。
