起因
事情是这样的,站长正在无聊的hw看waf中,然后收到一份评论邮件,如下图:
当时看到的时候也没在意,然后这个人就加了我的群,在群里说明了一下,说这个骗了挺多人了,然后就发出了目标的网址,我就抱着无聊的心态随手打开看了下
1.随手打开目标站点,界面还做的挺逼真的,如下:
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
2.随手打开burp,尝试抓取登录的包,然后发现后端是python
温馨提示
既然是个钓鱼页面,肯定是收集信息的网站,所以一般我们都会尝试xss盲打,这里打了一下,但是没成功
3.接着继续测试,然后出现了一个突破口,一个报错页面,应该是后端不允许发送空值,然后就异常报错了,而且django的debug没有关闭。
(这里我们没有传值过去,所以是空值,导致后端异常抛出)
4.接下来开始查找报错页面上有用的信息,发现了一堆东西,如下:
(使用者:admin)
(疑似管理员的连接服务器ip)
(mysql的相关信息~)
(python版本,以及一个github的项目xxx-master(应该是管理员直接clone下来的项目))
然后在作者的源码里发现了一个邮箱,但是没有继续深入~
(发现后台项目:xadmin)
2.没有验证码?那这不爆破走一走???,用户名根据xadmin的github项目说明可以知道默认用户是admin,密码直接上我的top1w
3.成功搞出密码,运气日站?,弱口令永远滴神!
第一次进入的时候后台数据挺多的,各种信息都比较全,但是后面管理好像会定期清理数据。。
总结一下,就是运气日站,弱口令永远滴神!!后台的功能太少了!django+xadmin写的项目,和朋友研究了一晚上,好像根本没有办法getshell,太难了!然后貌似这个还是一个有授权到期时间的站点?不仅有zfb钓鱼页面,还有jd等~应该是个团伙作案,还有个小号QQ,每天也会经常修改get的访问请求参数,然后就没有继续深入了。
最后说一件有趣的事情,那个让帮忙的人说我可以去他的店铺随便选衣服,然后我看了一下,他的店铺是卖童装的。。。
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
因篇幅问题不能全部显示,请点此查看更多更全内容