安基网 首页 安全 攻防案例 查看内容

“黑客”技术之对某坑人的菠菜平台“爬虫”测试

2019-11-21 12:11| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 说道博彩,也就网络棋牌游戏,大家可能都很熟悉,其中有大部分的人对博彩是深有体会,因为他们从最开始的好奇,到陷入,到开始的小营小利到最后输的倾家荡产。其实每个陷入到这种平台的人都知道,无论怎么玩到最后的结局一定是输,这是为什么呢?难道仅仅是因为自己的运气不好?为什么别人可以一直赢呢 ...

说道博彩,也就网络棋牌游戏,大家可能都很熟悉,其中有大部分的人对博彩是深有体会,因为他们从最开始的好奇,到陷入,到开始的小营小利到最后输的倾家荡产。其实每个陷入到这种平台的人都知道,无论怎么玩到最后的结局一定是输,这是为什么呢?难道仅仅是因为自己的运气不好?为什么别人可以一直赢呢?还有的人赢了很多却无法体现,难道仅仅是因为倒闭吗?今天我们就用技术对这个某平台爬虫,希望各位能看清这种害人平台。

这个平台也是一个长期关注我的朋友发我的,他告诉我自己输了很多很多,整天饱受那些催款电话,整个人也不知道该怎么办。

话不多说我们直接开始正题,打开了该平台首页我们发现就是一个在其内部成为BC综合盘而已,我自己也注册看了下,发现可以正常运行,那就代表该平台并没有收手,而是继续干这坑人的活。

这种网站和其他一个BC综合片一样,首页并没有太多的利用价值,我也就没有再进行任何测试了

这个时候我们回到平台首页,发现会有一个代理,插一个话外题,代理大家都懂,其实就是给i平台进行引流,大部分都是已经输的走投无路的朋友选择做的。

这个时候我们先注册了一个所谓的代理帐号,发现需要审核,但是同时我们意外的得到了他代理连接暗自下了决心就从这里开始。

大家可以看看这其实就是一个最简单不过的登录界面 ,不过需要验证码,但是我们可以直接删除验证码的参数,这样绕过验证,快捷又方便。很多平台登陆出都是XSS或者SQL注入,还有爆破之类的一些漏洞,我们进行测试就可以,但是我这个人没有得到预期的效果,都会测试一次,用payload跑一遍。其实很多的权重低的网站都可以绕过验证码登录,所以各位以后在上网的时候尽量避免访问一些低级网站,保护个人隐私和自己的安全。

稍微懂点爬虫技术的朋友可以从上面两张图应该i就知道我FUZZ到的效果了,这个里面有长度360的数据包,返回的数字为1,大部分返回的是0.所FUZZ给渗透测试带来很多惊喜,自然这里也存在问题。

然后在这里测试延迟语句的时候的确延迟了,证明有盲点。然后我们 测试当前数据库名,其中就放出前两位因为名字就是网站的url不方便放出来

这两个图显示当期两个数据库前缀是108和1181然后我得到了当前数据库名字为 lv*****,根据ascll表得 到的,新手朋友可能需要一张表我顺便发出来。

以此类推得到了管理员的账号密码,其次这个数据库存在多个网站的信息,不过目的达到了,再次我需要跑子域名,得到了他们的管理后台审核一下我的代理账号,密码进行登录就可以。

这样我们就拿顺利进到该平台内部,也就是相当于拥有该管理员权限可以查看一切,至于其他就部截图啦,但是我可以告诉大家,通过一系列的数据分析和研究,该平台存在引号“杀猪”模式,也就是放长线钓大鱼,开始小额下注的时候一直赢,这个时候被欲望冲昏了头脑,你会赢更多,选择大额,结果赢了很多却无法体现。

还有就是设置NPC来和玩家对局,你看到的别人一直赢,其实就是管理员自己设置的机器人在陪你玩。希望各位都清醒清醒。

看到这里大家也应该明白了吧,早日戒赌,珍惜和家人的幸福生活。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6761413555666289155/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部