近年來很多黑客把目標鎖定到了暴利的博彩網站,很多博彩平台開設在境外,由於平台內的資金池非常大,從事的行業又很多都是非法行為,所以很多黑客就打起了“黑吃黑”的注意,對這種賭博網站進行滲透和入侵,下邊分享一個國外黑客入侵某博彩網站全過程!
當然,大夥也可以私信我們,加群或者加入圈子,我們一起學習探討!!!
對這種賭博網站,大多數都是存在很多xss和sql注入(主要還是xss比較多),另外一方面的話就是對類似的源碼進行一個白盒測試,瀏覽器打開主頁某個地址,彈出來一個“博彩網站”打開網站其實網站的程序跟普通博彩網站沒什麼兩樣,都是直接右上角註冊,然後註冊馬上就可以玩各種彩票什麼的。
網絡上看看這類程序有沒有什麼安全漏洞,但是沒有找到什麼有用的,相對來說,研究看看有沒有什麼新的滲透這類網站的方式,其實看了整個網站,功能測試了多遍沒有發現什麼較大的安全漏洞。
測試支付接口的時候,他們很多地方都是直接要求用戶轉賬來充值,充值有很多種方式,其中就有一個接口就是直接可以支付寶支付,輸入個300元直接跳轉到一個支付二維碼。
直接訪問這個接口主頁,是一個支付平台樣子是這樣的,還打着“某某科技”估計是想讓人以為是正規的支付渠道。
來到一個商戶登錄頁面,這裡面進去肯定有不少功能測試。
其實在此過程中已經對網站做了不少測試,在過程中把沒必要寫入的都省略掉了,所以過程都是直接寫重點,挖掘的過程耗費比較長時間去找
其中我在一個JS頁面找到多個有權限才可觸碰到的操作js請求,但是其中有兩個位置可以直接無權限請求,所以在測試漏洞過程中對於每一個點都要加以測試。
上圖是js截圖,像這樣的還有十幾條請求,簡單的組合成post請求,可以發現請求返回 true 這樣的返回包
但是在接下來簡單輸入個單引號直接就報錯 sql錯誤信息,對多個字符進行測試,發現就單引號會報錯,那肯定有問題的,測試and證明了存在SQL注入
1′ and(select length(database())) = 18 and ‘1’=’
18時報錯證明長度18
過程大家都懂,得到了多個商戶密碼,其次這個網站一共就3個商戶都是他們“賭博網站”的,登錄第一個查看。
裡面好幾個銀行卡號,其中賬戶裡面有100多萬人民幣
他們還有一個後台,後台不方便截圖出來,敏感內容較多,是這個支付接口的後台。
這是黑客攻防一次經歷,希望大夥關注我們的頭條號,這樣可以看到更多精彩內容。我希望大夥吸取經驗,然後學習更多知識,這是我們的初衷,最後可以私信小編,加群也可以加入我們的圈子一起探討更高深的web經驗。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/273698.html
微信掃一掃 
支付寶掃一掃 