无聊的一次棋牌渗透

2020-04-14 23:41:05 75 9553


最近天天看坛子里的表哥们搞BC,棋牌的,闲着没事也去随便找了个


简单看了一下  IIS7.5+mssql+windows的 大多数棋牌都这配置

一般棋牌的话主页都是一个HTML5完了就是让你下载他的app,这个web看起来做的还是有模有样的,所以先从web入手

信息收集得到了管理员后台地址与代理后台:




整的还挺高大上的,还有动态码。

基本上这类目标 XSS,SQL注入是主要手段, 花了点时间手工测试到了一处注入

其实咋说呢,没有绝对安全的系统,只有不努力的黑客,很多地方细节花点时间手动去测试总会有惊喜,一般经常玩的都知道大概哪些地方可能会出现问题。

扯远了。。。




获取绝对路径  type C:\Windows\System32\inetsrv\config\applicationHost.config  



拒绝访问,默默的点上烟。

CS生成了一个powershell直接上线




翻了一下路径



echo直接写了个马 顺手一起提了服务器。










打包证据,交给JC叔叔 ,哎啥时候才能上到注册会员

自评TCV:1吧

关于作者

男儿莫哭19篇文章634篇回复

评论75次

要评论?请先  登录  或  注册