向吃鸡外挂站开炮（二）——yzddMr6

2024-06-04 06:57:25

上一篇向吃鸡外挂站开炮（一）

前言

首先打开网站我们可以看到他的炫酷界面

暖心公告

[图片上传失败…(image-cea3c9-1573117670522)]

不要脸的宣传词

发现注入

基于tp3开发,后台/admin

尝试万能密码

提示密码错误

尝试admin admin888 提示账号不存在

两者回显不同，考虑可能存在注入

无法利用？

burp抓包发送到repeater进行进一步测试

发现条件为真时返回status: -2，条件为假时返回status: -1

进一步印证了猜想，后台存在注入

扔到sqlmap跑

无法检测出注入，提示一堆404 not found

开始以为是cdn封锁了sqlmap的流量，后来发现根本没什么防护。。。虚假的cdn

于是考虑可能是cms自身过滤了一些东西

绕过过滤

经过测试发现只要出现尖括号就会返回404

可以用between来绕过

这时就继续按照条件真=>-2 条件假=>-1 来回显

也就满足了盲注的条件

忽然一想这个情景跟第五空间决赛的那道注入题一毛一样

真返回一个页面假返回另一个页面出现被过滤字符返回其它页面并且要用between来绕过

CTF诚不欺我

所以只要在sqlmap的参数里加上--tamper=between 即可

最后

数据库里管理员密码用的aes加密，没有秘钥，无法解密。

普通用户登录口被关闭，无法注册也无法登录。

除了脱出来一堆孤儿的信息其他也没什么用

打包一下证据，全部提交有关部门。

向吃鸡外挂站开炮（二）——yzddMr6相关推荐

向吃鸡外挂站开炮（三）——yzddMr6
本篇已授权公众号"HACK学习呀"转载向吃鸡外挂站开炮(一) 向吃鸡外挂站开炮(二) 前言第三篇终于写好了,也算是比较有意思的一篇,遇到了很多坑,也用上了很多小技巧,写出来博君 ...
实战渗透 | 向吃鸡外挂站开炮
0X01 因为最近吃鸡被外挂打自闭了,所以准备也让那些卖挂的体会一下什么叫做自闭. 昨天晚上爬了快1000个卖吃鸡外挂的平台你们这些卖挂的,等我有空了一个一个捶. 发现大多数都是用的一套aspx的程 ...
携程否认竞价排名；戴尔为“吃鸡外挂”致歉；腾讯将发区块链游戏 | CSDN极客头条
点击上方"CSDN",选择"置顶公众号" 关键时刻,第一时间送达! 「CSDN 极客头条」是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报 ...
游戏人生：iOS竟自带八倍镜功能：堪称吃鸡“外挂”
iOS竟自带八倍镜功能:堪称吃鸡"外挂" 转载来源: PConline 作者:杨蘑菇现在最火的游戏是什么?没错,"吃鸡".大吉大利今晚"吃鸡&quo ...
“吃鸡”外挂黑产上亿，游戏行业如何做好防御？
前段时间,好多客户都来问海龟动态云的技术人员关于游戏安全领域的问题,咨询游戏盾以及高防服务器,原因是大家都看到了上个月的一个新闻. 事情是这样的,<和平精英>上线后,成为了年轻人火爆的休闲 ...
c++求平均值_云顶之弈S4：六射手娱乐吃鸡！人均刮痧王，每个人都是主C
哈喽,大家好这里是OV说游戏!纯射手羁绊目前在云顶中属于比较冷门的玩法,因为大家都会选择加入其他羁绊来中和射手带来的问题.不过纯射手在云顶S4里的确属于T2级别的体系,想要吃鸡就一定要胡牌.并不是每一 ...
用机器学习预测，手持98k化身吃鸡大师
编译组:黄琎.温媛本文经授权转自公众号读芯术近日,<绝地求生>(PUBG)MET亚洲邀请赛中国两个赛区的7支战队战队全部退赛的消息惊呆全网. 原因很简单: "有人作弊了,官 ...
开挂一时爽，被封悔终生！想天天“吃鸡”请用这款神器！
近期,<绝地求生:大逃杀(PlayerUnknown's Battlegrounds)>这款游戏可以说是火到不要不要的,Steam平台数据显示,这款游戏日在线人数峰值已经超过了100万,足 ...
攻击 xxs_“吃鸡”玩家被xxs故意炸倒，举报时出现提示，光子站在xxs一边！
大家好,欢迎来到由小鱼干开讲的<吃鸡新鲜事速报>,小鱼干觉得,现在自己要转型团队竞技模式了,因为SS6还有4天就要结束,估计4天时间,是不够从皇冠打上王牌了. 不过这团队竞技真的很容易把人 ...

最新文章

热门文章