这几天闲来无聊,于是打开手机,首先放上一首吴亦凡的《Lullaby (Live)》,然后打开王者荣耀就开始撸了起来~
撸了三盘,两跪,一赢。
"······我靠,猪队友,我荆轲无敌的存在啊,居然还是被坑输了"
(这里说明下,并不是我真的很厉害,而是在这5个人中,我确实是最厉害的一个存在,三盘,每盘都有挂机的,( ╯□╰ ))
就在这时候,看到聊天的界面有这样一条消息:
打开正文
聪明如我,一看就知道是钓鱼网站,我日,这小伙子算是倒霉了,碰到了正在气头上的我!
那么一言不合就开日吧,解解心头只恨!
WHOIS查询 :
没任何有价值的信息。
也做了份目录踩点没发现什么特殊的,那么直接开始黑盒测试吧,首先是网站有 QQ 登陆的:
简单看了下前端的验证:
JS代码:
只要表单中的账号和密码不为 0 就返回 true 顺利提交到服务器上。
那么提交 XSS 进去看看:
过了大概三四个小时,邮箱来了邮件说收到了 Cookie,进平台终于 Cookie 来了~说明了这里完全是可以 XSS 盲打后台 Cookie 的:
不知道为什么 Cookie 用不了,也进不了后台,后来利用自己的域名字典组合扫到一个 zip
压缩出来发现是有源代码,但是数据库却损坏了~,于是仔细的看了下后台是可以越权的:
如上代码,只要名为 admin 的 Cookie 值不为空则继续执行:
这里我很无语的是,为什么我打的 Cookie 没有 admin,只有
ESJXJVHPULSFUPJCEQPU=NHHRSOSMFXBTAKIDJIPOEDAPVZTMMAXFZLJZEMXH 很是无奈,直接 Burp 抓了包然后修改了下 Cookie:
进去了
看了下一共有快1W的王者荣耀er的数据被钓鱼,正义的我不会拿去卖钱,当然是全部删除:
我仿佛听到有人在背后说我帅
另外,在这里叮嘱大家一定不要上这些当!!谨慎!!
友情提示:和女朋友一起打王者农药的时候,一定要控制好,调整好,平衡好你们之间的关系状态。
本文转自知乎 链接:https://zhuanlan.zhihu.com/p/26194503