向吃鸡外挂站开炮(二)——yzddMr6
上一篇 向吃鸡外挂站开炮(一)
前言
首先打开网站我们可以看到他的炫酷界面
暖心公告
[图片上传失败…(image-cea3c9-1573117670522)]
不要脸的宣传词
发现注入
基于tp3开发,后台/admin
尝试万能密码
提示密码错误
尝试admin admin888 提示账号不存在
两者回显不同,考虑可能存在注入
无法利用?
burp抓包发送到repeater进行进一步测试
发现条件为真时返回status: -2
,条件为假时返回status: -1
进一步印证了猜想,后台存在注入
扔到sqlmap跑
无法检测出注入,提示一堆404 not found
开始以为是cdn封锁了sqlmap的流量,后来发现根本没什么防护。。。虚假的cdn
于是考虑可能是cms自身过滤了一些东西
绕过过滤
经过测试发现只要出现尖括号就会返回404
可以用between来绕过
这时就继续按照 条件真=>-2 条件假=>-1 来回显
也就满足了盲注的条件
忽然一想这个情景跟第五空间决赛的那道注入题一毛一样
真返回一个页面 假返回另一个页面 出现被过滤字符返回其它页面 并且要用between来绕过
CTF诚不欺我
所以只要在sqlmap的参数里加上--tamper=between
即可
最后
数据库里管理员密码用的aes加密,没有秘钥,无法解密。
普通用户登录口被关闭,无法注册也无法登录。
除了脱出来一堆孤儿的信息其他也没什么用
打包一下证据,全部提交有关部门。
向吃鸡外挂站开炮(二)——yzddMr6相关推荐
- 向吃鸡外挂站开炮(三)——yzddMr6
本篇已授权公众号"HACK学习呀"转载 向吃鸡外挂站开炮(一) 向吃鸡外挂站开炮(二) 前言 第三篇终于写好了,也算是比较有意思的一篇,遇到了很多坑,也用上了很多小技巧,写出来博君 ...
- 实战渗透 | 向吃鸡外挂站开炮
0X01 因为最近吃鸡被外挂打自闭了,所以准备也让那些卖挂的体会一下什么叫做自闭. 昨天晚上爬了快1000个卖吃鸡外挂的平台 你们这些卖挂的,等我有空了一个一个捶. 发现大多数都是用的一套aspx的程 ...
- 携程否认竞价排名;戴尔为“吃鸡外挂”致歉;腾讯将发区块链游戏 | CSDN极客头条
点击上方"CSDN",选择"置顶公众号" 关键时刻,第一时间送达! 「CSDN 极客头条」是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报 ...
- 游戏人生:iOS竟自带八倍镜功能:堪称吃鸡“外挂”
iOS竟自带八倍镜功能:堪称吃鸡"外挂" 转载来源: PConline 作者:杨蘑菇 现在最火的游戏是什么?没错,"吃鸡".大吉大利今晚"吃鸡&quo ...
- “吃鸡”外挂黑产上亿,游戏行业如何做好防御?
前段时间,好多客户都来问海龟动态云的技术人员关于游戏安全领域的问题,咨询游戏盾以及高防服务器,原因是大家都看到了上个月的一个新闻. 事情是这样的,<和平精英>上线后,成为了年轻人火爆的休闲 ...
- c++求平均值_云顶之弈S4:六射手娱乐吃鸡!人均刮痧王,每个人都是主C
哈喽,大家好这里是OV说游戏!纯射手羁绊目前在云顶中属于比较冷门的玩法,因为大家都会选择加入其他羁绊来中和射手带来的问题.不过纯射手在云顶S4里的确属于T2级别的体系,想要吃鸡就一定要胡牌.并不是每一 ...
- 用机器学习预测,手持98k化身吃鸡大师
编译组:黄琎.温媛 本文经授权转自公众号 读芯术 近日,<绝地求生>(PUBG)MET亚洲邀请赛中国两个赛区的7支战队战队全部退赛的消息惊呆全网. 原因很简单: "有人作弊了,官 ...
- 开挂一时爽,被封悔终生!想天天“吃鸡”请用这款神器!
近期,<绝地求生:大逃杀(PlayerUnknown's Battlegrounds)>这款游戏可以说是火到不要不要的,Steam平台数据显示,这款游戏日在线人数峰值已经超过了100万,足 ...
- 攻击 xxs_“吃鸡”玩家被xxs故意炸倒,举报时出现提示,光子站在xxs一边!
大家好,欢迎来到由小鱼干开讲的<吃鸡新鲜事速报>,小鱼干觉得,现在自己要转型团队竞技模式了,因为SS6还有4天就要结束,估计4天时间,是不够从皇冠打上王牌了. 不过这团队竞技真的很容易把人 ...
最新文章
- 如何挑选深度学习 GPU?
- iOS - 数据持久化之 FMDB 的使用
- 求矩形中心点坐标编程c语言,c语言编程序求矩形面积 我是新手,很多不懂,初学...
- OI生涯回忆录(二)
- QtWebkit中浏览器插件的设计-1
- P6775-[NOI2020]制作菜品【贪心,dp】
- 【渝粤题库】国家开放大学2021春2044教育研究方法题目
- 单元格自适应宽度_最详细的Excel模块Openpyxl教程(二)-单元格操作详解
- Little Alchemy 游戏 - 扒答案。。 Java
- 函数、迭代器、生成器、装饰器
- wince flash Android,关于wince下用C#实现flash播放器
- 跑了 13 种编程语言的 Hello World,可视化后有了新发现!
- windows 编程 之 问题解决笔记
- Linux上vi(vim)编辑器使用教程
- ios 渐变透明背景_iPhone 全透明动态壁纸,内含完整教程
- php什么是耦合关系,什么是耦合
- 洞察·分析·管理 | 解读良品铺子的客户体验管理三部曲
- 联想笔记本重装系统无法进入记录
- c++中整形输入逗号_Excel 2013中单元格添加下拉列表的方法
- 【演示文稿制作软件】Focusky教程 | 利用动画角色让演示文稿更生动
热门文章
- datatables 合并单元格(rowspan)
- 2019创业做哪方面,有什么好的建议吗?
- 【Unity3D进阶4-10】Unity3D 背包系统
- Nginx基础常用命令,版本,启动,停止,重启等
- 对付身体小毛病的80妙招(转)
- bmwaicoder使用教程_真香警告!分享一个老款3系改大屏幕+carplay的过程
- 网站荣耀服务器ip,华为荣耀路由器管理页面IP地址是多少(2)
- oracle delete之后恢复数据
- python3 requests https 请求 报 SSLContext 相关递归错误
- Mac OS升级GCC版本